热门标签
热门文章
- 1hive中reverse函数
- 2【无标题】_onlyoffice workspace安装
- 3spark sql 总结_spark sql 编程初级实践实验心得
- 4回溯算法总结_python输入正整数n(n<10),输出abcd...n个不同字母的全排列,输出时按升序每行显示
- 5最全完整大数据学习路线,看了就会有所收获_大数据分析学习路线,2024年最新不了解这些多线程的基础知识很难学懂大数据开发
- 6算术逻辑单元 —— 串行加法器和并行加法器
- 7集群及LVS简介、LVSNAT模式原理、LVSNAT模式配置、LVSDR模式原理、LVSDR模式配置、LVS错误排查_pubserver:eth0->192.168.88.240,eth1->192.168.99.24
- 8目标检测:yolov8(ultralytics)训练自己的数据集,新手小白也能学会训练模型,一看就会_yolov8训练自己的vocdevkit数据集
- 9在矩池云运行 Stable Diffusion web UI,使用v1.5模型和 ControlNet 插件_stablediffusion1.5模型
- 10linux高性能集群之--LVS_linux lvs
当前位置: article > 正文
Linux------iptables防火墙常用命令_-a input -p tcp -m multiport --dports 5120:5130
作者:喵喵爱编程 | 2024-07-12 23:05:14
赞
踩
-a input -p tcp -m multiport --dports 5120:5130
iptables的表、链结构
-
规则链
- 规则的作用:对数据包进行过滤或处理
- 链的作用:容纳各种防火墙规则
- 链的分类依据:处理数据包的不同时机
-
默认包括5种规则链
- INPUT:处理入站数据包
- OUTPUT:处理出站数据包
- FORWARD:处理转发数据包
- POSTROUTING链: 在进行路由选择后处理数据包
- PREROUTING链:在进行路由选择前处理数据包
-
规则表
- 表的作用:容纳各种规则链
- 表的划分依据:防火墙规则的作用相似
-
默认包括4个规则表
- raw表:确定是否对该数据包进行状态跟踪
- mangle表:为数据包设置标记
- nat表:修改数据包中的源、目标IP地址或端口
- filter表:确定是否放行该数据包(过滤)
-
默认的表、链结构示意图
数据包过滤的匹配流程
-
规则表之间的顺序
- raw- > mangle >nat > filter
-
规则链之间的顺序
- 入站: PREROUTING→INPUT
- 出站: OUTPUT→POSTROUTING
- 转发: PREROUTING> FORWARD>POSTROUTING
-
规则链内的匹配顺序
- 按顺序依次检查,匹配即停止(LOG策略例外)
- 若找不到相匹配的规则,则按该链的默认策略处理
匹配流程示意图
**注意:**CentOS 7默认使用firewalld防火墙,若想使用iptables防火墙, 必须先关闭firewalld防火墙
iptables安装
- 关闭firewalld防火墙
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# systemctl disable firewalld.service
- 1
- 2
- 安装iptables防火墙
[root@localhost ~]# yum -y install iptables iptables-services
- 1
- 设置iptables开机启动
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]# systemctl enable iptables.service
- 1
- 2
iptables的基本语法
- 语法构成
- iptables -t 表名 选项 链名 条件 -j 控制类型
[root@localhost ~]# iptables -t filter -I INPUT -p icmp-j REJECT
- 1
-
注意事项
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
-
数据包的常见控制类型
- ACCEPT:允许通过
- DROP:直接丢弃,不给出任何回应
- REJECT:拒绝通过,必要时会给出提示
- LOG:记录日志信息,然后传给下一条规则继续匹配
-
常用管理选项汇总
| 类别 | 选项 | 用途 |
|---|---|---|
| 添加新的规则 | -A | 在链的末尾加一条规则 |
| 添加新的规则 | -I | 在链的开头(或指定序号)插入一条规则 |
| 查看规则列表 | -L | 列出所有的规则条目 |
| 查看规则列表 | -n | 以数字形式显示地址、端口等信息 |
| 查看规则列表 | -v | 以更详细的方式显示规则信息 |
| 查看规则列表 | –line-numbers | 查看规则时,显示规则的序号 |
| 删除、清空规则 | -D | 删除链内指定序号(或内容)的一条规则 |
| 删除、清空规则 | -F | 删除所有的规则 |
| 设置默认策略 | -P | 为指定的链设置默认规则 |
规则的匹配条件
常见的通用匹配条件
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址 -d 目的地址
- 接口匹配:-i 入站网卡 -o出站网卡
常用的隐含匹配条件
- 端口匹配:–sport 源端口 --dport 目的端口
- ICMP类型匹配: --icmp-type ICMP 类型
示例:
iptables -I INPURT -p icmp -j DROP
iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
- 1
- 2
- 3
- 4
注释: 8:请求 、 0:回显 、3:不可达
常用的显示匹配条件
多端口匹配:
- -m multiport --sports 源端口列表
- -m multiport --dports 目的端口列表
IP范围匹配:
- -m iprange --src-range IP范围
MAC地址匹配:
- -m mac -mac-source MAC地址
状态匹配:
- -m state --state 连接状态
示例
iptable -A INPUT -p tcp -m multiport --dports 25,80,110 -j ACCEPT
iptable -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
iptable -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j ACCEPT
iptable -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
常见的连接状态:
NEW ------------ 与任何连接无关的
ESTABLISHED ------------ 响应请求或者已建立连接的
RELATED ------------ 与已有连接有相关性的,如FTP数据连接
总结:
iptables防火墙默认包括4个表,5种链
iptables的基本语法
iptables常用管理选项
- A、I、L、n、v、 --line-numbers、D、F、P
iptables规则匹配条件
- 通用匹配、隐含匹配、显示匹配
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/喵喵爱编程/article/detail/816476
推荐阅读
相关标签
