【Linux】一步一步学Linux—

00. 目录

文章目录

00. 目录
01. 命令概述
02. 命令格式
03. 常用选项
04. 参考示例
05. 附录

01. 命令概述

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。

02. 命令格式

格式: iptstate [选项] [参数]

03. 常用选项

-t<表>：指定要操纵的表；
-A：向规则链中添加条目；
-D：从规则链中删除条目；
-i：向规则链中插入条目；
-R：替换规则链中的条目；
-L：显示规则链中已有的条目；
-F：清楚规则链中已有的条目；
-Z：清空规则链中的数据包计算器和字节计数器；
-N：创建新的用户自定义规则链；
-P：定义规则链中的默认目标；
-h：显示帮助信息；
-p：指定要匹配的数据包协议类型；
-s：指定要匹配的数据包源ip地址；
-j<目标>：指定要跳转的目标；
-i<网络接口>：指定数据包进入本机的网络接口；
-o<网络接口>：指定数据包要离开本机所使用的网络接口。

格式详解

iptables命令选项输入顺序

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括：

raw：高级功能，如：网址过滤。
mangle：数据包修改（QOS），用于实现服务质量。
net：地址转换，用于网关路由器。
filter：包过滤，用于防火墙规则。

规则链名包括:

INPUT链：处理输入数据包。
OUTPUT链：处理输出数据包。
PORWARD链：处理转发数据包。
PREROUTING链：用于目标地址转换（DNAT）。
POSTOUTING链：用于源地址转换（SNAT）。

动作包括：

accept：接收数据包。
DROP：丢弃数据包。
REDIRECT：重定向、映射、透明代理。
SNAT：源地址转换。
DNAT：目标地址转换。
MASQUERADE：IP伪装（NAT），用于ADSL。
LOG：日志记录。

04. 参考示例

4.1 清除已有iptables规则

[root@localhost ~]# iptables -F
[root@localhost ~]#

4.2 删除指定的用户自定义链

[root@localhost ~]# iptables -X
[root@localhost ~]#

删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

4.3 把所有链的包及字节的计数器清空

[root@localhost ~]# iptables -Z
[root@localhost ~]#

4.4 允许本地回环接口(即运行本机访问本机)

[root@localhost ~]# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
[root@localhost ~]#

4.5 允许已建立的或相关链的通行

[root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost ~]#

4.6 允许所有本机向外的访问

[root@localhost ~]# iptables -A OUTPUT -j ACCEPT
[root@localhost ~]#

4.7 允许访问22端口

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]#

4.8 允许访问80端口

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]#

4.9 允许ftp服务的21端口

[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost ~]#

4.10 允许FTP服务的20端口

[root@localhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost ~]#

4.11 禁止其他未允许的规则访问

[root@localhost ~]# iptables -A INPUT -j REJECT
[root@localhost ~]#

4.12 禁止其他未允许的规则访问

[root@localhost ~]# iptables -A FORWARD -j REJECT
[root@localhost ~]#

4.13 屏蔽单个IP的命令

[root@localhost ~]# iptables -I INPUT -s 172.16.0.88 -j DROP
[root@localhost ~]#

4.14 封整个段即从172.16.0.1到172.16.0.254的命令

[root@localhost ~]# iptables -I INPUT -s 172.16.0.0/24 -j DROP
[root@localhost ~]#

4.15 封整个段即从172.16.0.0到172.16.255.254的命令

[root@localhost ~]# iptables -I INPUT -s 172.16.0.0/16 -j DROP
[root@localhost ~]#

4.16 封整个段即从172.0.0.0到172.255.255.254的命令

[root@localhost ~]# iptables -I INPUT -s 172.0.0.0/8 -j DROP
[root@localhost ~]#

4.17 查看已添加的iptables规则

[root@localhost ~]# iptables -L -n -v
Chain INPUT (policy ACCEPT 158 packets, 17668 bytes)pkts bytes target     prot opt in     out     source               destination         Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target     prot opt in     out     source               destination         Chain OUTPUT (policy ACCEPT 106 packets, 19752 bytes)pkts bytes target     prot opt in     out     source               destination
[root@localhost ~]#

4.18 删除已添加的iptables规则

将所有iptables以序号标记显示，执行：

[root@localhost ~]# iptables -L -n --line-numbers

比如要删除INPUT里序号为9的规则

[root@localhost ~]# iptables -D INPUT 9

4.19 清空 filter表INPUT所有规则

[root@localhost ~]# iptables  -F INPUT
[root@localhost ~]#

4.20 设置filter表INPUT默认规则是 DROP

[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]#

05. 附录

参考：【Linux】一步一步学Linux系列教程汇总