当前位置：首页 > news >正文

iptables防火墙

news 2026/2/8 15:48:23

文章目录

一.linux防火墙基础
- 1.linux 包过滤防火墙概述
- - 1.1netfilter
  - 1.2 iptables
- 2.包过滤的工作层次
- - 2.1 通信的五元素和四元素
- 3.iptables 的表、链结构
- - 3.1 规则链
  - 3.2 默认包括5种规则链
  - 3.3 规则表
  - 3.4 默认包括4个规则表
二.数据包过滤的匹配流程
- 1.规则表之间的顺序
- 2.规则链之间的顺序
- 3.规则链内的匹配顺序
- 4.匹配流程示意图
- 5.转换
三.编写防火墙规则
- 1.基本语法
- - 1.1 总结
  - 1.2 管理选项
- 2.数据包的常见控制类型
- 3.管理选项
- ４.匹配的条件
四．添加、查看、删除规则
- １.查看规则
- ２.添加规则
- ３.删除规则
- ４.通用匹配
- ５.隐藏扩展模块
- ６.显示匹配
- ７.IP范围匹配
- ８.MAC匹配

一.linux防火墙基础

1.linux 包过滤防火墙概述

1.1netfilter

（1）位于Linux内核中的包过滤功能体系

（2）称为Linux防火墙的“内核态”

1.2 iptables

（1）位于/sbin/iptables，用来管理防火墙规则的工具

（2）称为Linux防火墙的“用户态”

2.包过滤的工作层次

（1）主要是网络层，针对IP数据包

（2）体现在对包内的IP地址、端口等信息的处理上

2.1 通信的五元素和四元素

五元素：源IP、目标IP、源端口、目标端口、协议

四元素：源IP、目标IP、源端口、目标端口

3.iptables 的表、链结构

3.1 规则链

（1）规则的作用:对数据包进行过滤或处理

（2）链的作用:容纳各种防火墙规则

（3）链的分类依据:处理数据包的不同时机

3.2 默认包括5种规则链

（1）INPUT:处理入站数据包

（2）OUTPUT:处理出站数据包

（3）FORWARD:处理转发数据包

（4）POSTROUTING链:在进行路由选择后处理数据包

（5）PREROUTING链:在进行路由选择前处理数据包

3.3 规则表

（1）表的作用:容纳各种规则链

（2）表的划分依据:防火墙规则的作用相似

3.4 默认包括4个规则表

（1）raw表:确定是否对该数据包进行状态跟踪

（2）mangle表:为数据包设置标记

（3）nat表:修改数据包中的源、目标IP地址或端口

（4）filter表:确定是否放行该数据包(过滤)

二.数据包过滤的匹配流程

1.规则表之间的顺序

raw——mangle——nat——filter

按照表的顺序，依次查当前表中的链，看链中是否有匹配规则，匹配到立即停止，若找不到匹配规则，则会使用链的默认策略处理。

表里面有链，链里面匹配规则

2.规则链之间的顺序

（1）入站: PREROUTING——INPUT

（2）出站: OUTPUT——POSTROUTING

（3）转发: PREROUTING——FORWARD——POSTROUTING

3.规则链内的匹配顺序

（1）按顺序依次检查，匹配即停止 (LOG策略例外)

（2）若找不到相匹配的规则，则按该链的默认策略处理

4.匹配流程示意图

按照顺序查从raw表开始到mangle——nat表——（如没有策略到）filter表（input 让不让数据进来）——路由转发——一般不会对出数据进行限制——raw——mangle——nat——filter看是否有策略——nat（对数据进行地址转换）——出去，送达（不转换也送达）

5.转换

（1）nat PREROUTING：目的地址转换。要把别人的公网ip换成你们内部的ip
（2）nat POSTROUTING：源地址转换，要把你的内网地址转换成公网地址才能上网，一般用于对外发布内网的服务（内网访问外网）

三.编写防火墙规则

1.基本语法

1.1 总结

四表五链

规则表的作用:容纳各种规则链

规则链的作用: 容纳各种防火墙规则

总:表里有链，链里有规则

1.2 管理选项

表示iptables规则的操作方式，如插入、增加、删除、查看等;匹配条件:用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理:控制类型指的是数据包的处理方式，如允许、拒绝、丢弃等。

注：

不指定表名时，默认指filter表不指定链名时，默认指表内的所有链，一般不这么操作除非设置链的默认策略，否则必须指定匹配条件选项、链名、控制类型使用大写字母，其余均为小写

2.数据包的常见控制类型

(1)ACCEPT:允许数据包通过。

(2)DROP：直接丢弃数据包，不给出任何回应信息

(3)REJECT:拒绝数据包通过，必要时会给数据发送端一个响应信息。

(4)SNAT:修改数据包的源地址

(5)DNAT:修改数据包的目的地址

3.管理选项

选项	注释	示例
-A	在指定链末尾追加一条	iptables -A INPUT （操作）
-I	在指定链中插入一条新的，未指定序号默认作为第一条	iptables -I INPUT （操作）
-P	指定默认策略	iptables -P OUTPUT ACCEPT （操作）
-D	删除	iptables -t nat -D INPUT 2 （操作）
-R	修改、替换某一条规则	iptables -t nat -R INPUT （操作）
-L	查看	iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名）
-v	查看时显示更详细信息，常跟-L一起使用（查看）
–line-numbers	规则带编号	iptables -t nat -L -n --line-number iptables -t nat -L --line-number

选项	注释	示例
-F	清除链中所有规则	iptables -F （操作）
-X	清空自定义链的规则，不影响其他链	iptables -X
-Z	清空链的计数器（匹配到的数据包的大小和总和）	iptables -Z
-S	看链的所有规则或者某个链的规则/某个具体规则后面跟编号

４.匹配的条件

条件	作用
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
–sport	指定源端口号
–dport	指定目的端口号

四．添加、查看、删除规则

１.查看规则

粗略查看默认规则：

iptables   -L

数字化的形式查看规则：

iptables   -nL

指定表查看：

iptables -t filter  -vnL

查看指定表中的指定链

iptables -t filter  -vnL  INPUT ——————不指定表，默认就是filter

２.添加规则

添加规则的两个常用选项：
-A，在末尾追加规则。
-I，在指定位置前插入规则。如果不指定，则在首行插入
添加新的防火墙规则时，使用管理选项“-A”、“-I”，前者用来追加规则，后者用来插入规则。

iptables -F————————清空规则（如果不写表名和链名，默认清空filter表中所有链里的所有规则）

 iptables -t filter -A INPUT -p icmp -j REJECT 　——————————禁止所有主机ping本机

 iptables -t filter -A INPUT -p icmp -j ACCEPT————————————允许ping通，-A在前一条规则后添加

#匹配到了就不在匹配后面的规则

iptables -t filter -I INPUT 1 -p icmp -j ACCEPT ——————————指定序号插入，插入到第一条

#即时生效

 iptables -t filter -A INPUT -p tcp -j REJECT ——————————禁止任何主机tcp

iptables -I INPUT 1 -p udp -j ACCEPT——————允许任何主机udp

 iptables  -nL  --line-number  #查看行规则的位置

拒绝某一台主机，其他的可以：

iptables -t filter -A INPUT -s 192.168.198.12 -p icmp -j REJECT

拒绝多台主机：

iptables -t filter -A INPUT -s 192.168.198.12,192.168.198.13 -p icmp -j REJECT

不允许１１的数据包出去，其他的就都ping不通了

 iptables -t filter -A OUTPUT -s 192.168.198.11 -p icmp -j REJECT

指定端口:

iptables -t filter -A INPUT -p tcp --dport 22 -j REJECT
注：协议在前，指定端口号在后，否则识别不了端口，无法匹配就会报错！

iptables -t filter -A INPUT -s 192.168.198.12　-p tcp --dport 80 -j REJECT
指定IP地址的服务端口拒绝

３.删除规则

D删除：

根据序号删除内容

iptables -D INPUT 1——————————删除指定的INPUT链中的第一条规则

内容匹配删除（有两个相同的则作用为去重）如果有两个重复的规则，则删除序号较小的

 iptables -D INPUT -p icmp  -j REJECT——————删除序号小的

４.通用匹配

网络协议、IP地址、网络接口等条件。
协议匹配: -p协议名
地址匹配: -s 源地址、-d目的地址
#可以是IP、网段、域名、空(任何地址)
接口匹配: -i入站网卡、-o出站网卡
感叹号”!”表示取反

网络协议

iptables -P INPUT DROP　————其他的服务不受影响，这个时候，把策略清空，所有的协议都将被DROP
iptables -F ————这时只能进虚拟机重启

IP地址

iptables -A INPUT -s 192.168.198.12 -j DROP——————————禁止22的数据进入

网络接口：

iptables -I INPUT 1 -i ens33 -s 192.168.198.0/24 -j DROP————————禁止指定的网络设备名称ens33的所

怎么使整个网段不能用指定的端口

 iptables -t filter -A INPUT -s 192.168.198.0/24 -p tcp --dport 80 -j REJECT——————————禁止整个网段访问80端口

５.隐藏扩展模块

iptables在使用-p 指定协议时，若指明特定协议后就无须再使用-m指明扩展模块的扩展机制。
例如若已经指明是 -p tcp协议则使用–dport及–sport等tcp模块内容时即可省略-m tcp。

多端口隐藏扩展匹配

 iptables -A INPUT -p tcp --dport 22:80 -j REJECT ——————————禁止整个网段访问22和80端口注：小的数字写在前面，大的写在后面

６.显示匹配

多端口显示扩展匹配

 iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j REJECT
多端口匹配，一次性禁止多个tcp网络协议的端口匹配规则

７.IP范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

iptables -A INPUT -p icmp -m iprange --src-range 192.168.198.20-192.168.198.30 -j REJECT——————禁止网段内的ip地址ping主机

８.MAC匹配

 iptables -A INPUT -m mac --mac-source 00:0c:29:23:65:98 -j DROP