iptables（什么是iptables）

本文目录

• 什么是iptables
• linux中iptables防火墙怎么设置
• iptables是什么
• linux怎么关闭iptables linux如何关闭防火墙
• 简述iptables的工作过程
• 如何启用iptables 防火墙
• iptables命令详解是什么
• 如何使用iptables
• Linux里面iptables作用是什么
• 什么是iptables规则链

什么是iptables

iptables－－静态防火墙iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络——哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。

linux中iptables防火墙怎么设置

一，安装并启动防火墙　　［root@linux ~］# /etc/init.d/iptables start　　当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。　　1.加载模块　　/sbin/modprobe ip_tables　　2.查看规则　　iptables -L -n -v　　3.设置规则　　#清除已经存在的规则　　iptables -F　　iptables -X　　iptables -Z　　#默认拒绝策略（尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。建议只在外网接口上做相应的配置）　　iptables -P INPUT DROP　　iptables -P OUTPUT DROP　　iptables -P FORWARD DROP　　#ssh 规则　　iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT　　iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT　　#本地还回及tcp握手处理　　iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT　　iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT　　#www-dns 规则　　iptables -I INPUT -p tcp –sport 53 -j ACCEPT　　iptables -I INPUT -p udp –sport 53 -j ACCEPT　　iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT　　iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT　　#ICMP 规则　　iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT　　iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT　　iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT　　iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT　　二，添加防火墙规则　　1，添加filter表　　1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口　　出口我都是开放的iptables -P OUTPUT ACCEPT，所以出口就没必要在去开放端口了。　　2，添加nat表　　1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE　　将源地址是 192.168.10.0/24 的数据包进行地址伪装　　3，-A默认是插入到尾部的，可以-I来插入到指定位置　　1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT　　2.［root@linux ~］# iptables -L -n --line-number　　3.Chain INPUT （policy DROP）　　4.num target prot opt source destination　　5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0　　6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8　　7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的　　8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22　　9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80　　10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED　　11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW　　12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后　　13.Chain FORWARD （policy ACCEPT）　　14.num target prot opt source destination　　15.Chain OUTPUT （policy ACCEPT）　　16.num target prot opt source destination　　三，查下iptable规则　　1，查看filter表　　1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号，在删除的时候比较方便　　2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21　　如果不加-t的话，默认就是filter表，查看，添加，删除都是的　　2，查看nat表　　1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number　　2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）　　3.num pkts bytes target prot opt in out source destination　　4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0　　四，修改规则　　1.［root@linux ~］# iptables -R INPUT 3 -j DROP //将规则3改成DROP　　五，删除iptables规则　　1.［root@linux ~］# iptables -D INPUT 3 //删除input的第3条规则　　2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则　　3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有规则　　4.［root@linux ~］# iptables -F //清空所有规则　　5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则　　六，设置默认规则　　1.［root@linux ~］# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP　　所有添加，删除，修改后都要保存起来，/etc/init.d/iptables save.上面只是一些最基本的操作，要想灵活运用，还要一定时间的实际操作。　　iptables配置常规映射及软路由　　作用：虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器（eth0:192.168.1.1、eth1:10.0.0.5）做软路由达到访问10.0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。　　NAT 映射网络端口：　　效果： 10.0.0.5:2222 —-》 192.168.1.2:22　　命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22　　service iptables save　　service iptables restart　　注意：1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关，如果10.0.0.5具有公网访问权限，dns则设置成公网对应dns　　2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效　　软路由192.168.1.0/24通过10.0.0.5访问外网：　　命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5　　service iptables save　　service iptables restart

iptables是什么

iptables－－静态防火墙 iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络——哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log) 记到哦!关注《linux就该这么学》，小白轻松变大牛。

linux怎么关闭iptables linux如何关闭防火墙

打开SSH软件，首先检查防火墙状态，输入命令“／etc/init.d/iptables stop”停止服务即可，详细步骤：

工具／原料：

Linux系统Centos

SSH远程软件

1、首先打开SSH软件，按回车键就会提示进行登录，输入IP和用户名进行登录。

2、执行命令：／etc/init.d/iptables status，会得到一系列信息，说明防火墙开着，如图。

3、执行命令：／etc/init.d/iptables stop，停止服务。

4、执行命令：chkconfig --levels 35 iptables off，关闭防火墙服务开机启动。

5、还需要关闭Selinux，现在，先查看当前SELinux状态，执行命令：／usr/sbin/sestatus -v//参数为enabled即为开启状态。

6、执行命令：vi /etc/selinux/config，按“i”进入模式将SELINUX=enforcing改为SELINUX=disabled，然后按“ESC”退出模式，按Shift+;然后再输入wq回车即可。

7、关闭成功，重启系统即可。

简述iptables的工作过程

基本步骤如下： 1. 数据包到达网络接口，比如 eth0。 2. 进入 raw 表的 PREROUTING 链，这个链的作用是赶在连接跟踪之前处理数据包。 3. 如果进行了连接跟踪，在此处理。 4. 进入 mangle 表的 PREROUTING 链，在此可以修改数据包，比如 TOS 等。 5. 进入 nat 表的 PREROUTING 链，可以在此做DNAT，但不要做过滤。 6. 决定路由，看是交给本地主机还是转发给其它主机。 到了这里我们就得分两种不同的情况进行讨论了，一种情况就是数据包要转发给其它主机，这时候它会依次经过： 7. 进入 mangle 表的 FORWARD 链，这里也比较特殊，这是在第一次路由决定之后，在进行最后的路由决定之前，我们仍然可以对数据包进行某些修改。 8. 进入 filter 表的 FORWARD 链，在这里我们可以对所有转发的数据包进行过滤。需要注意的是：经过这里的数据包是转发的，方向是双向的。 9. 进入 mangle 表的 POSTROUTING 链，到这里已经做完了所有的路由决定，但数据包仍然在本地主机，我们还可以进行某些修改。 10. 进入 nat 表的 POSTROUTING 链，在这里一般都是用来做 SNAT ，不要在这里进行过滤。 11. 进入出去的网络接口。完毕。

如何启用iptables 防火墙

　　安装iptables 包，使用下面的命令：　　$sudo yum install iptables-services　　设置iptables 防火墙服务开机自动启动，输入下面的命令：　　$sudo systemctl enable iptables　　如果你想使用/etc/init.d/iptables save 命令来保存已经更改的防火墙策略，那么需要输入下面的命令，将iptables.init 脚本用刚才安装iptables 启动脚本覆盖，输入下面的命令　　$sudo /usr/libexec/iptables/iptables.init /etc/init.d/iptables　　这个时候你就可以使用 /etc/init.d/iptables save 命令了　　$sudo /etc/init.d/iptables save　　

iptables命令详解是什么

iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

iptables命令的语法规则：

iptables CRETIRIA -j ACTION；

-t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter；

COMMAND，子命令，定义对规则的管理；

chain：指明链路；

CRETIRIA：匹配的条件或标准；

ACTION：操作动作；

命令说明

Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。

可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作’target’（目标），也可以跳向同一个表内的用户定义的链。

以上内容参考：百度百科-IPTABLES

如何使用iptables

这可以使用以下命令进行：serviceiptablesstart警告你应该使用以下命令关闭ip6tables服务才能使用iptables服务：serviceip6tablesstopchkconfigip6tablesoff要使iptables在系统引导时默认启动，你必须使用chkconfig来改变服务的运行级别状态。chkconfig--level345iptablesoniptables的语法被分成几个层次。主要层次为“链”（chain）。“链”指定处理分组的状态。其用法为：iptables-achain-jtarget-a在现存的规则集合内后补一条规则。chain是规则所在“链”的名称。iptables中有三个内建的链（即影响每一个在网络中经过的分组的链）：input、output、和forward。这些链是永久性的，不能被删除。重要在创建iptables规则集合时，记住规则的顺序是至关重要的。例如：如果某个链指定了来自本地子网192.168.100.0/24的任何分组都应放弃，然后一个允许来自192.168.100.13（在前面要放弃分组的子网范围内）的分组的链被补在这个规则后面（-a），那么这个后补的规则就会被忽略。你必须首先设置允许192.168.100.13的规则，然后再设置放弃规则。要在现存规则链的任意处插入一条规则，使用-i，随后是你想插入规则的链的名称，然后是你想放置规则的位置号码（1,2,3,...,n）。例如：iptables-iinput1-ilo-pall-jaccept这条规则被插入为input链的第一条规则，它允许本地环回设备上的交通。7.2.1.基本防火墙策略在一开始就建立的某些基本策略为建构更详细的用户定义的规则奠定了基础。iptables使用策略（policy,-p）来创建默认规则。对安全敏感的管理员通常想采取放弃所有分组、只逐一允许指定分组的策略。以下规则阻塞网络上所有的出入分组。iptables-pinputdropiptables-poutputdrop此外，还推荐你拒绝所有转发分组（forwardedpackets）—要从防火墙被选路发送到它的目标节点的网络交通—以便限制内部客户对互联网的无心暴露。要达到这个目的，使用以下规则：iptables-pforwarddrop注记在处理添加的规则时，reject（拒绝）目标和drop（放弃）目标这两种行动有所不同。reject会拒绝目标分组的进入，并给企图连接服务的用户返回一个connectionrefused的错误消息。drop会放弃分组，而对telnet用户不发出任何警告；不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用reject目标。设置了策略链后，为你的特定网络和安全需要创建新规则。以下各节概述了一些你在建构iptables防火墙时可能要实现的规则。7.2.2.保存和恢复iptables规则防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导，这些规则就会自动被清除并重设。

Linux里面iptables作用是什么

iptables简称netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。iptables基础 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别制定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。iptables和netfilter的关系 这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。iptables传输数据包的过程① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。 ② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。 ③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

什么是iptables规则链

什么是Iptables？ iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具，最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来，它的功能更为强大。Iptables 提供以下三种功能：包过滤、NAT（网络地址转换）和通用的 pre-route packet mangling。包过滤：用来过滤包，但是不修改包的内容。Iptables 在包过滤方面相对于 ipchians 的主要优点是速度更快，使用更方便。NAT：NAT 可以分为源地址 NAT 和目的地址 NAT。 Iptables 可以追加、插入或删除包过滤规则。实际上真正执行这些过虑规则的是 netfilter 及其相关模块（如 iptables 模块和 nat 模块）。Netfilter 是 Linux 核心中一个通用架构，它提供了一系列的 “表”（tables），每个表由若干 “链”（chains）组成，而每条链中可以有一条或数条 “规则”（rule）组成。 系统缺省的表为 “filter”，该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。 每一条链中可以有一条或数条规则，每一条规则都是这样定义的：如果数据包头符合这样的条件，就这样处理这个数据包。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件： 如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略来处理该数据包。 ? table，chain，rule iptables 可以操纵3 个表：filter 表，nat 表，mangle 表。 NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表，如果没有 -t 参数，就默认对 filter 表操作。 Rule 规则：过滤规则，端口转发规则等，例如：禁止任何机器 ping 我们的服务器，可以在服务器上设置一条规则： iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP 从–s 开始即是一条规则，-j 前面是规则的条件，-j 开始是规则的行为（目的）。整条命令解释为，在filter 表中的 INPUT 规则链中插入一条规则，所有源地址不为 127.0.0.1 的 icmp 包都被抛弃。 Chain 规则链：由一系列规则组成，每个包顺序经过 chain 中的每一条规则。chain 又分为系统 chain和用户创建的 chain。下面先叙述系统 chain。 filter 表的系统 chain： INPUT，FORWAD，OUTPUT nat 表的系统 chain： PREROUTING，POSTROUTING，OUTPUT mangle 表的系统 chain： PREROUTING，OUTPUT 每条系统 chain 在确定的位置被检查。比如在包过滤中，所有的目的地址为本地的包，则会进入INPUT 规则链，而从本地出去的包会进入 OUTPUT 规则链。 所有的 table 和 chain 开机时都为空，设置 iptables 的方法就是在合适的 table 和系统 chain 中添相应的规则。 -------------------------------------------------------------- IPTABLES 语法： 表: iptables从其使用的三个表（filter、nat、mangle）而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明. 操作命令: 即添加、删除、更新等。 链：对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链，也可以操作用户自定义的链。 规则匹配器：可以指定各种规则匹配，如IP地址、端口、包类型等。 目标动作：当规则匹配一个包时，真正要执行的任务，常用的有： ACCEPT 允许包通过 DROP 丢弃包 一些扩展的目标还有： REJECT 拒绝包，丢弃包同时给发送者发送没有接受的通知 LOG 包有关信息记录到日志 TOS 改写包的TOS值 为使FORWARD规则能够生效,可使用下面2种方法的某种: # iptables -A INPUT -s 0/0 -d 0/0 -j brus （向默认的INPUT链添加一条规则，使所有包都由brus自定义链处理） ---------------------------------------------------------------- 基本匹配规则实例： 匹配协议： iptables -A INPUT -p tcp （指定匹配协议为TCP） iptables -A INPUT -p ! tcp （指定匹配TCP以外的协议） 匹配地址： iptables -A INPUT -s 192.168.1.1 （匹配主机）