linux下IPTABLES设置详解
封面图
•
2025-09-26
•
Linux
365
0
0
0
在Linux系统中,`iptables` 是一个强大的工具,用于配置防火墙规则和网络数据包过滤。它允许你控制进入、离开以及通过系统的数据包。以下是对 `iptables` 的详细设置说明。 ### 1. 基本概念 - **表(Table)**:`iptables` 有四个主要的表: - `filter`:默认表,用于过滤数据包。 - `nat`:用于网络地址转换(NAT)。 - `mangle`:用于修改数据包的某些字段。 - `raw`:用于决定是否对数据包进行状态跟踪。 - **链(Chain)**:每个表包含多个链,链是规则的集合。常见的链包括: - `INPUT`:处理发往本机的数据包。 - `OUTPUT`:处理从本机发出的数据包。 - `FORWARD`:处理经过本机转发的数据包。 - `PREROUTING` 和 `POSTROUTING`:主要用于 NAT。 - **规则(Rule)**:每个规则定义了如何处理特定的数据包。 ### 2. 常用命令 #### 查看当前规则 ```bash iptables -L -n -v ``` - `-L`:列出所有规则。 - `-n`:以数字形式显示IP地址和端口号。 - `-v`:显示详细信息。 #### 清空规则 ```bash iptables -F ``` 清空所有规则。 #### 删除规则 ```bash iptables -D <chain> <rule-number> ``` 删除指定链中的某个规则。 #### 添加规则 ```bash iptables -A <chain> -p <protocol> --dport <port> -j <target> ``` - `-A`:添加规则到链的末尾。 - `<chain>`:指定链名(如 INPUT, OUTPUT, FORWARD)。 - `-p`:指定协议(如 tcp, udp, icmp)。 - `--dport`:目标端口。 - `-j`:指定目标动作(如 ACCEPT, DROP, REJECT)。 #### 插入规则 ```bash iptables -I <chain> <position> -p <protocol> --dport <port> -j <target> ``` 插入规则到指定位置。 #### 设置默认策略 ```bash iptables -P <chain> <policy> ``` - `-P`:设置默认策略。 - `<policy>`:可以是 `ACCEPT`, `DROP`, `REJECT` 等。 ### 3. 示例 #### 允许所有本地回环接口流量 ```bash iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ``` #### 允许 SSH 连接 ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` #### 阻止特定 IP 地址 ```bash iptables -A INPUT -s 192.168.1.100 -j DROP ``` #### 转发数据包 ```bash iptables -A FORWARD -p tcp --dport 80 -j ACCEPT ``` #### 设置默认拒绝所有流量 ```bash iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ``` ### 4. 持久化 由于 `iptables` 规则在系统重启后会丢失,因此需要将其保存到文件中并设置为开机自启。 #### 保存规则 ```bash service iptables save ``` #### 恢复规则 ```bash service iptables restart ``` ### 5. 注意事项 - 在设置防火墙规则时,务必小心,尤其是设置默认策略为 `DROP` 或 `REJECT`,否则可能会导致无法访问系统。 - 如果不确定规则的效果,可以在测试环境中先进行实验。 - 使用 `iptables-save` 和 `iptables-restore` 来管理复杂的规则集。 通过以上设置,你可以有效地管理和保护你的 Linux 系统的网络流量。
上一篇:
linux远程下载文件 的两种方法之 ftp命令和scp命令
下一篇:
linux chown命令参数及用法详解--改变档案的所有者
标题录入,一次不能超过6条
留言
评论