Iptables 基本命令（二）《博雅运维Linux全套笔记》

iptables是Linux操作系统中用于配置和控制防火墙规则的一款工具，它工作在内核空间的netfilter模块上。iptables以表（tables）的形式组织不同的规则，其中最为常用的表格类型有filter（过滤）、nat（地址转换）、mangle（修改数据包）和raw（原始数据包处理）等。每个表中又包含不同的链（chains），如 INPUT、OUTPUT、FORWARD 等，代表数据包处理的不同阶段。 本知识点主要围绕iptables的基本命令进行介绍，通过添加、删除规则来对网络数据包进行控制，以及设置默认策略，并详细介绍了规则的匹配条件。 1. 添加和删除规则： - -A 选项用于在链的末尾追加一条新规则。 - -I 选项用于在链的开头或指定序号位置插入一条新规则。 例如： - `iptables -t filter -A INPUT -p tcp -j ACCEPT` 表示在filter表的INPUT链中追加一条规则，允许所有TCP协议的数据包。 - `iptables -I INPUT 2 -p udp -j ACCEPT` 表示在INPUT链的第二条位置插入一条规则，允许所有UDP协议的数据包。 2. 列出规则： - -L 选项用于列出所有规则。 - -n 选项以数字形式显示地址和端口等信息。 - -v 选项以更详细的方式显示规则信息。 - --line-numbers 选项用于显示规则的序号，便于定位和操作。 3. 删除和清空规则： - -D 选项用于删除链内指定序号或内容的规则。 - -F 选项用于清空所有规则。 例如： - `iptables -D INPUT 3` 删除INPUT链中的第三条规则。 - `iptables -F` 清空filter表中所有链的所有规则。 4. 设置默认策略： - -P 选项用于设置链的默认策略。 例如： - `iptables -P FORWARD DROP` 将FORWARD链的默认策略设置为DROP，即默认拒绝所有转发的数据包。 5. 规则的匹配条件： - 协议匹配：-p 选项用于指定协议类型，如tcp、udp、icmp等。 - 地址匹配：-s 选项用于指定源地址，-d 选项用于指定目的地址。 - 接口匹配：-i 选项用于指定入站网卡接口，-o 选项用于指定出站网卡接口。 - 端口匹配：--sport 用于指定源端口，--dport 用于指定目的端口。 - TCP标记匹配：--tcp-flags 用于检查是否设置了特定的TCP标记。 - ICMP类型匹配：--icmp-type 用于指定ICMP数据包的类型。 6. 隐含和显式匹配条件： - 多端口匹配：-m multiport 选项与 --sports 或 --dports 结合使用，用于匹配多个源端口或目的端口。 - IP范围匹配：-m iprange 选项与 --src-range 结合使用，用于匹配某个IP范围。 - MAC地址匹配：-m mac 选项与 --mac-source 结合使用，用于匹配特定的MAC地址。 - 状态匹配：-m state 选项与 --state 结合使用，用于匹配数据包的连接状态，如ESTABLISHED、RELATED等。 通过以上命令的组合使用，用户可以灵活地配置iptables规则，实现网络安全策略的定制化，如只允许特定端口的数据包通过、丢弃或接受特定类型的数据包，甚至是根据IP地址范围和连接状态来控制数据包的流动。掌握iptables的使用对于维护Linux系统的网络安全至关重要。