iptables 命令學習
摘要
Linux 早起版本使用netfilter進行數據包過濾.
最新的版本開始改用 ebpf的方式進行內核編程式的包過濾.
netfilter 可以理解爲內核態的一個處理機制
iptables 是在用戶態進行管理netfilter配置的工具.
也就可以理解爲:
iptables 是管理netfilter的一個工具
便於實現安全以及路由等功能.
四表
raw 表中的規則可以被哪些鏈使用:PREROUTING,OUTPUT
mangle 表中的規則可以被哪些鏈使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat 表中的規則可以被哪些鏈使用:PREROUTING,OUTPUT,POSTROUTING(centos7中還有INPUT,centos6中沒有)
filter 表中的規則可以被哪些鏈使用:INPUT,FORWARD,OUTPUT
五鏈
PREROUTING 的規則可以存在於:raw表,mangle表,nat表。
INPUT 的規則可以存在於:mangle表,filter表,(centos7中還有nat表,centos6中沒有)。
FORWARD 的規則可以存在於:mangle表,filter表。
OUTPUT 的規則可以存在於:raw表mangle表,nat表,filter表。
POSTROUTING 的規則可以存在於:mangle表,nat表。
四表五鏈的關係--來自朱雙印的blog
一些命令注意事項
關於關閉防火牆
很多blog說可以使用 iptables -F 的方式來清理防火牆的規則.
但是這一點有很多問題.
建議需要先查看一下默認規則.
iptables -L -v -n
注意最好是如下規則再進行-F
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
如果是drop 後者是 reject 的話建議不要如此使用
建議可以使用如下命令進行修改
iptables -P INPUT ACCEPT
需要注意後面其實有很多注意事項:
-L 羅列相關信息
-v 冗餘模式
-P 設置鏈的策略 -P 鏈路 策略
後面會將幫助打出來一遍進行學習與查看.
一些常用命令
1. 查看, 注意可以通過 -t 查看特定的filter
iptables -L -n -v
2. 屏蔽IP地址
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
3. 屏蔽指定的ip指定的協議
iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP
4. 解封某個地址
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
5. 阻止特定的傳出連接
iptables -A OUTPUT -p tcp --dport xxx -j DROP
6. 阻止特定的傳入連接
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
7. 一次性處理多個端口
iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT
8. 使用IP地址範圍
iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT
9. 設置端口轉發
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525
10. 放置flood攻擊
iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT
11. 屏蔽ping
iptables -A INPUT -p icmp -i eth0 -j DROP
12. 開放loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
13. 屏蔽指定mac地址
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP
14. 限制併發連接數
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
15. 清空規則, 可以指定鏈表進行清除.
iptables -t nat –F
iptables -f
16. 保存和緩存iptables規則
iptables-save > ~/iptables.rules
iptables-restore < ~/iptables.rules
17. 允許建立相關連接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
18. 丟棄無效數據包
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
19. 組織發送郵件
iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT
20. 組織連接到某塊網卡
iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP
注意以上命令來源:csdn. 感謝原作者.
關於防火牆的功能
iptables 不僅可以實現防火牆的策略
還可以實現 路由轉發(軟路由)
K8S比較早的版本網絡棧都是採用的iptables
但是因爲如果K8S的集羣擴大之後會導致嚴重的性能衰退
iptables 管理起來非常複雜. 後來直接使用ipvs進行網絡棧處理
所以iptables的功能是非常強大的.
附錄: 命令幫助
iptables -h
iptables v1.8.4
Usage: iptables -[ACD] chain rule-specification [options]
iptables -I chain [rulenum] rule-specification [options]
iptables -R chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LS] [chain [rulenum]] [options]
iptables -[FZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--check -C chain Check for the existence of a rule
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain [rulenum]]
List the rules in a chain or all chains
--list-rules -S [chain [rulenum]]
Print the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain [rulenum]]
Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--ipv4 -4 Nothing (line is ignored by ip6tables-restore)
--ipv6 -6 Error (line is ignored by iptables-restore)
[!] --proto -p proto protocol: by number or name, eg. `tcp'
[!] --source -s address[/mask][...]
source specification
[!] --destination -d address[/mask][...]
destination specification
[!] --in-interface -i input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--goto -g chain
jump to chain with no return
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
[!] --out-interface -o output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--wait -w [seconds] maximum wait to acquire xtables lock before give up
--wait-interval -W [usecs] wait time to try to acquire xtables lock
default is 1 second
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.