iptables过滤规则配置

Iptables过滤规则配置

——网络知识

一、iptables介绍

iptables 是与Linux 内核集成的IP 信息包过滤系统。如果Linux 系统连接到因特网或LAN、服务器或连接LAN 和因特网的代理服务器，则该系统有利于在Linux 系统上更好地控制IP 信息包过滤和防火墙配置。

二、iptables框架

三、iptables过滤规则

1、添加

Iptables –A INPUT –j DROP 在filter表的INPUT链中追加一条规则（作为最后一条规则），匹配所有访问本机IP的数据包，匹配到后丢弃。

Iptables –I INPUT –j DROP 在filter表的INPUT链中插入一条规则（插入成第1条），匹配所有访问本机IP的数据包，匹配到后丢弃。

Iptables –I INPUT 3 –j DROP在filter表的INPUT链中插入一条规则（插入成第3条），匹

配所有访问本机IP的数据包，匹配到后丢弃。

《注》

（1）不写规则号码，默认为第1条。

（2）确保规则号码小于等于（已有规则数）+ 1，否则报错。

2、删除

Iptables –D INPUT 3 删除filter表INPUT链中的第三条规则。

Iptables –D INPUT –s 192.168.111.193 –j DROP 删除filter表INPUT链中内容为“–s 192.168.111.193 –j DROP”。

《注》

（1）若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条。

（2）按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错。

（3）按内容匹配删除时，确保规则存在，否则报错。

3、替换

Iptables –R INPUT 3 –j ACCEPT 将原来编号为3的规则内容替换为“-j ACCEPT”。《注》确保规则号码小于等于已有规则数，否则报错。

4、清空规则

Iptables –F INPUT 清空filter表INPUT链中所有规则。

Iptables –F 清空filter表所有链中的所有规则。

5、列出规则（常用）

Iptables -vnL

6、匹配方式

每个数据包流经每条链时，只要匹配到符合的规则，就不再继续匹配该链下面的规则。可以在虚拟机上使用ping命令实验进行验证：

（1）优先匹配DROP后直接丢弃

iptables -A OUTPUT -p icmp -j DROP

iptables -A OUTPUT -p icmp -j ACCEPT

（2）优先匹配ACCEPT后直接通过

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A OUTPUT -p icmp -j DROP

四、应用举例

（1）iptables -A OUTPUT -p tcp -j DROP 使用浏览器不能上网

（2）iptables -A OUTPUT -p icmp -j DROP 不能使用ping命令