当前位置：首页 > news >正文

Linux iptables使用详解

news 2025/7/8 17:48:25

一、Linux系统下使用iptables

在Linux中，常用的防火墙工具是iptables。以下是一些基本的iptables命令，用于配置防火墙规则。

查看现有的iptables规则：

sudo iptables -L

清除所有现有的规则（慎用，可能导致服务不可用）：

sudo iptables -F

允许特定端口（例如，允许TCP端口80）：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

拒绝来自特定IP的访问：

sudo iptables -A INPUT -s 123.123.123.123 -j DROP

# 假设要限制的IP段为192.168.1.0/24，你可以使用以下命令：
iptables -I INPUT -s 192.168.1.0/24 -j DROP

允许特定IP的访问：

sudo iptables -A INPUT -s 123.123.123.123 -j ACCEPT

保存规则，使其在重启后生效（可选，取决于发行版）：

sudo iptables-save > /etc/iptables/rules.v4

或者在某些系统中，您可能需要使用iptables-persistent：

sudo netfilter-persistent save
sudo netfilter-persistent reload

检查iptables服务状态（取决于发行版）：

sudo systemctl status iptables

启动/停止/重启iptables服务

sudo systemctl start iptables
sudo systemctl stop iptables
sudo systemctl restart iptables

1. 基本概念

防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它

表（Tables）：iptables 定义了五个表，每个表用于处理不同类型的数据包。最常用的表是 filter 表，用于处理输入、输出和转发的数据包。
链（Chains）：每个表包含几个内置链，用于处理特定类型的数据包。例如，filter 表包含 INPUT、OUTPUT 和 FORWARD 链。
规则（Rules）：规则定义了数据包与链的匹配条件以及匹配后应采取的操作（如接受、拒绝或跳转到另一个链）。
目标（Targets）：当数据包与规则匹配时，规则可以指定一个目标。常见的目标包括 ACCEPT（接受数据包）、DROP（丢弃数据包）和 REJECT（拒绝数据包并发送错误消息）。

2. 常用命令

查看规则：
- iptables -L：列出 filter 表中的所有规则。
- iptables -L -t nat：列出 nat 表中的所有规则。
- -v 选项可以显示更详细的信息。
添加规则：
- iptables -A INPUT -p tcp --dport 22 -j ACCEPT：在 INPUT 链的末尾添加一条规则，允许 TCP 协议的 22 端口（SSH）的数据包。
- -A 表示追加到链的末尾，-I 可以用于在链的指定位置插入规则。
删除规则：
- iptables -D INPUT -p tcp --dport 22 -j ACCEPT：删除与指定条件匹配的规则。
- 注意，删除规则时必须提供完整的匹配条件，否则无法正确删除。
修改规则：iptables 没有直接的修改命令，但可以通过删除旧规则并添加新规则来实现修改。
保存和恢复规则：
- service iptables save（或 iptables-save > /etc/sysconfig/iptables）：将当前规则保存到文件中。
- service iptables restart（或 iptables-restore < /etc/sysconfig/iptables）：从文件中恢复规则。
- 注意：不是所有的 Linux 发行版都使用相同的命令来保存和恢复 iptables 规则。

3. 复杂用法

匹配多个条件：使用多个 -p、--dport、--source 等选项可以定义更复杂的匹配条件。
使用通配符：在匹配源地址或目标地址时，可以使用通配符（如 192.168.1.*）来匹配多个地址。
使用扩展匹配：iptables 还支持扩展匹配模块，如 multiport、string 等，用于执行更复杂的匹配操作。
使用自定义链：可以创建自定义链并在其他链中引用它们，以实现更复杂的逻辑。

4. 注意事项

在修改 iptables 规则之前，请务必备份当前的规则集。
谨慎使用 DROP 和 REJECT 目标，因为它们会阻止数据包通过系统并可能导致连接问题。
使用 -v 或 --verbose 选项可以查看更详细的规则信息。
不同的 Linux 发行版可能对 iptables 的使用略有差异，因此请参考特定发行版的文档以获取更多信息。

Linux iptables使用详解

1. 基本概念

2. 常用命令

3. 复杂用法

4. 注意事项

相关文章：

Linux iptables使用详解

算法02 递归算法及其相关问题

三个pdf工具和浏览软件（pdftk，muppdf，epdfview）

UKP3d的excel汇总表

体验亚马逊AIGC——Amazon Bedrock

Vue前端服务是什么：深入解析与实际应用

mysql_ssl_rsa_setup使用详解

FreeSWITCH入门到精通系列（三）：FreeSWITCH基础概念与架构

【C++】AVL树/红黑树实现及map与set的封装

利用CSS隐藏HTML元素并插入替代内容

第二节单机版本redis部署

Vim 常用指令

PySide6实现pdf转化为word和长图片

嵌入式硬件VS软件，到底哪个更难？

Spring boot集成log4j及日志配置详解，实战，ELK使用教程。

element 树组件 tree 横向纵向滚动条

matlab 任意二维图像转点云

编程机器人的参数表怎么看

上位机图像处理和嵌入式模块部署（h750 mcu串口命令处理）

西王食品2023营收下滑、净利润大幅减亏遭问询，近三年业绩承压

PHP和Node.js哪个更爽?

【JavaWeb】Docker项目部署

Android Bitmap治理全解析：从加载优化到泄漏防控的全生命周期管理

HashMap中的put方法执行流程（流程图）

视觉slam十四讲实践部分记录——ch2、ch3

C#中的CLR属性、依赖属性与附加属性

Golang——9、反射和文件操作

Kafka主题运维全指南：从基础配置到故障处理

JS面试常见问题——数据类型篇

C语言指针与数组sizeof运算深度解析：从笔试题到内存原理