linuxiptable命令

A. linux iptables设置

一、Linux下开启/关闭防火墙命令
1、永久性生效，重启后不会复原。
开启： chkconfig iptables on
关闭： chkconfig iptables off
2、 即时生效，重启后复原
开启： service iptables start
关闭： service iptables stop
需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。
在当开启了防火墙时，做如下设置，开启相关端口，
修改/etc/sysconfig/iptables 文件，添加以下内容：
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
二、UBuntu关闭防火墙
iptables -A INPUT -i ! PPP0 -j ACCEPT
三、CentOS Linux 防火墙配置及关闭
执行”setup”命令启动文字模式配置实用程序,在”选择一种工具”中选择”防火墙配置”,然后选择”运行工具”按钮,出现防火墙配置界面,将”安全级别”设为”禁用”,然后选择”确定”即可.
或者用命令:
#/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT
#/sbin/iptables -I INPUT -p tcp –dport 22 -j ACCEPT
#/etc/rc.d/init.d/iptables save
这样重启计算机后,防火墙默认已经开放了80和22端口
这里应该也可以不重启计算机：
#/etc/init.d/iptables restart
关闭防火墙服务即可：
查看防火墙信息：
#/etc/init.d/iptables status
关闭防火墙服务：
#/etc/init.d/iptables stop

B. iptables命令详解是什么

iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

iptables命令的语法规则：

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION；

-t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter；

COMMAND，子命令，定义对规则的管理；

chain：指明链路；

CRETIRIA：匹配的条件或标准；

ACTION：操作动作；

命令说明

Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。

可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。

以上内容参考：网络-IPTABLES

C. IPTABLES 详解

引言

先来看一条常用的iptables命令：

Iptables（-t filter） -I INPUT -p tcp  --dport ssh/22 -j ACCEPT

这一条命令，生成了一条规则。允许所有宽岩22端口的TCP连接。

这条规则作用表是filter表，即iptables默认表。作用链是INPUT链。

规则就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

原理

Iptables通过对数据包的控制实现防火墙功能，看下图：

数据包进入机器后，要根据数据包信息对数据包进行相关处理

（1） 一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转发出去。

（2） 如果数据包就是进入本机的，它就会沿着图方向移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经 过OUTPUT链，然后到达POSTROUTING链输出。

（3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示方向移动，经过 FORWARD链，然后到达POSTROUTING链输出。

链（chains）是规则校验序列及数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

iptables -P INPUT (DROP|ACCEPT)默认是关的/默认是开的

该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略

表（tables）是相同规则集合，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理四种不同的功能。

3、规则表之间的优先顺序：

Raw——mangle——nat——filter

每个表包含的数据链不同，在进行处理的时候注意需求，要在哪一链上操作。

（1）RAW表

只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在 某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

RAW表可以应用在那些不需慎陪御要做nat的情况下，以提高性能。如大乱培量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

（2）mangle表

主要用于对指定数据包进行更改，在内核版本2.4.18 后的linux版本中该表包含的链为：INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）POSTROUTING链（修改即将出去的数据包），PREROUTING链（修改即将到来的数据包）

（3）nat表

主要用于网络地址转换NAT，该表可以实现一对一，一对多，多对多等NAT 工作，iptables就是使用该表实现共享上网的，由于转换的特性，需进行目的地网址转换的数据包，就不需要进行来源网址转换，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把数据包过滤的规则定义在这个数据表里，将会造成无法对同一包进行多次比对，因此这个规则表除了作网址转换外，请不要做其它用途。NAT表包含了PREROUTING链（修改即将到来的数据包），POSTROUTING链（修改即将出去的数据包），OUTPUT链（修改路由之前本地生成的数据包）

（4）filter表

主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言，主要利用在filter表中指定的规则来实现对数据包的过滤。Filter表是默认的表，如果没有指定哪个表，iptables 就默认使用filter表来执行所有命令，filter表包含了INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）在filter表中只能允许对数据包进行接受，丢弃的操作，而无法对数据包进行更改

命令

iptables [-t 表] -命令 匹配   操作

-A是append命令，添加的规则在最后

-D是删除命令，删除第几条规则

-I是插入命令，添加的规则在第一条

！是取反操作

Sport 是源端口

Dport 是目的端口

列出各个表的规则命令：

iptables -nvL

iptables -t nat -nvL

iptables -t mangle -nvL

iptables -t raw -nvL

iptables -t filter -nvL

iptables -t raw -A PREROUTING -s 182.50.124.75 -j ACCEPT

REJECT     拦阻该数据包，并返回数据包通知对方，可以返回的数据包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（这个数据包包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。 范例如下：

iptables -A  INPUT -p TCP --dport 22 -j REJECT --reject-with ICMP echo-reply

DROP   丢弃数据包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。

REDIRECT    将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续比对其它规则。这个功能可以用来实作透明代理 或用来保护web 服务器。例如：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8081

MASQUERADE  改写封包来源IP为防火墙的IP，可以指定port 对应的范围，进行完此处理动作后，直接跳往下一个规则链（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 21000-31000

LOG    将数据包相关信息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 配置文件，进行完此处理动作后，将会继续比对其它规则。例如：

iptables -A INPUT -p tcp -j LOG --log-prefix "input packet"

SNAT  改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：

iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 192.168.10.15-192.168.10.160:2100-3200

DNAT  改写数据包包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则链（filter:input 或 filter:forward）。范例如下：

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.10.1-192.168.10.10:80-100

MIRROR   镜像数据包，也就是将来源 IP与目的地IP对调后，将数据包返回，进行完此处理动作后，将会中断过滤程序。

QUEUE    中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用.......等。

RETURN   结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。

MARK  将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 22

保存规则

使用iptables程序建立的规则只会保存在内存中，通常我们在修改了iptables的规则重启 iptables 后，之前修改的规则又消失了。那么如何保存新建立的规则呢？

方法1、对于RHEL和ceontos系统可以使用service iptables save将当前内存中的规则保存到 /etc/sysconfig/iptables 文件中

[root@lampbo ~]# service iptables save

方法2、修改/etc/sysconfig/iptables-config 将里面的IPTABLES_SAVE_ON_STOP="no", 这一句的"no"改为"yes"这样每次服务在停止之前会自动将现有的规则保存在 /etc/sysconfig/iptables 这个文件中去。

加入开机启动项

chkconfig --level 345 iptables on

UBUNTU系统   

没有上述东西，只能使用保存命令保存当前规则。

重启的就用自启动脚本加载已经保存的规则。

/etc/network/interfaces脚本自动应用

auto eth0 iface eth0 inet dhcp

pre-up iptables-restore < /etc/iptables.up.rules post-down iptables-save > /etc/iptables.up.rules

iptables --save

https://wangchujiang.com/linux-command/c/iptables.html#%E5%90%AF%E5%8A%A8%E7%BD%91%E7%BB%9C%E8%BD%AC%E5%8F%91%E8%A7%84%E5%88%99

其他问题

ip_conntrack: table full, dropping packet的问题

在启用了iptables web服务器上，流量高的时候经常会出现下面的错误：

ip_conntrack: table full, dropping packet

这个问题的原因是由于web服务器收到了大量的连接，在启用了iptables的情况下，iptables会把所有的连接都做链接跟踪处理，这样iptables就会有一个链接跟踪表，当这个表满的时候，就会出现上面的错误。iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max，链接碰到各种状态的超时后就会从表中删除。所以解决方法一般有两个：(1)加大 ip_conntrack_max 值vi /etc/sysctl.confnet.ipv4.ip_conntrack_max = 393216net.ipv4.netfilter.ip_conntrack_max = 393216(2):降低 ip_conntrack timeout时间vi /etc/sysctl.confnet.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120上面两种方法打个比喻就是烧水水开的时候，换一个大锅。一般情况下都可以解决问题，但是在极端情况下，还是不够用，怎么办？这样就得反其道而行，用釜底抽薪的办法。iptables的raw表是不做数据包的链接跟踪处理的，我们就把那些连接量非常大的链接加入到iptables raw表。如一台web服务器可以这样：iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACKiptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

使用注意事项

在默认链规则是accept的情况下，规则最后要加drop或reject，否则相当于没加规则

一般先添加允许自己IP的所有数据包的规则，否则添加drop规则后会被屏蔽

D. linux运维之iptables的一些操作（参考大神的）

1.安装iptables管理命令

2.加载防火墙的内核模块

3.查看已加载的模块

4.启动防火墙

首先停止firewalld

开启iptables

1.查看防火墙规则

2.清除防火墙规则

3.添加防火墙规则

4.网络连接状态

5.删除某个规则

1.禁止某个端口访问

2.规则解释：

3.禁止除跳板机以外的IP访问

4.匹配端口范围

 5. 匹配ICMP类型

6.一些操作

1、封掉10.0.0.7

2、让10.0.0.7和SSH客户端（10.0.0.1）服务器可以Ping，其它的不能Ping

3、封掉3306端口

1.从上往下依次匹配

2.一但匹配上,就不在往下匹配了

3.默认规则,默认的情况,默认规则是放行所有

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

iptables A INPUT -p tcp -m state --dport 22 -j DROP

禁止一个数据包:

tcp协议

访问的端口是22

禁止源地址是10.0.0.7的主机访问22端口

禁止源地址是10.0.0.7的主机访问任何端口

禁止源地址是10.0.0.8的主机访问80端口

禁止除了10.0.0.7以外的地址访问80端口

2条规则冲突,会以谁先谁为准

禁止10.0.0.7访问22和80端口

禁止10.0.0.7访问22到100之间的所有端口

禁止所有主机ping

放行10.0.0.7可以ping

只允许10.0.0.7可以ping

等同于上一条,优化版,只要不是10.0.0.7就不允许ping

优先级:

匹配频次最高的条件放前面

E. linux下查看iptables开放了哪些端口的命令是什么

1. 打开指定端口：/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT #80为指定端口

2. 将更改进行保存：/etc/rc.d/init.d/iptables save

3. 直接在/etc/sysconfig/iptables中增加一行：-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

4. 关闭端口：iptables -A INPUT -p tcp --dport 111 -j DROP

5. 开发不连续端口（包括单个）：iptables -A INPUT -p tcp -m multiport --dport 21,20 -j ACCEPT

F. linux查看防火墙规则的命令

在Linux 系统中可以使用 iptables 命令查看和配置各种防火墙规则。当然了，在配置不同功能的防火墙规则时会带有不同的具体参数。

G. linux 命令iptables -t nat

iptables -t nat -vnL是什么命令？
用详细方式列出 nat 表所有链的所有规则，只显示 IP 地址和端口号

iptables -L
粗略列出 filter 表所有链及所有规则

iptables -t nat -vxnL PREROUTING
用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字，不反解

iptables -t nat -F PREROUTING
-F: FLASH，清空规则链的(注意每个链的管理权限)
PREROUTING (路由前)
-t nat：显示所有的关卡的信息

iptables -t nat -F 清空nat表的所有链

iptables -t nat -F PREROUTING 清空nat表PREROUTING链
iptables -t nat -vnL | grep SNAT | awk -F : {'print $2'} 得到snat ip
iptables -t nat -D POSTROUTING -o eth1 -j SNAT --to ${snat_ip} 删除所有源地址转换表项
iptables -t nat -A PREROUTING -i %{G_HOST_IF0_0_0} -p tcp --dport %{G_TESTBED_SELENIUM_DPORT} -j DNAT --to %{G_PROD_IP_BR0_0_0}:80 添加源转换表项
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to ${ip} 添加目的转换表项
iptables -t nat -vnL 察看定义规则的详细信息