iptable命令

『壹』 linux iptables 命令一定要寫在/etc/sysconfig/iptables中才會保存嗎

iptables-save的命令只是把當前規則列印出來，如果要保存，需要把當前規則保存到一個文件中，當iptables重啟後，再根據這個配置文件恢復之前的規則。
iptables-save
>
/etc/iptables-config
service
iptables
restart
iptables-restore
<
/etc/iptables-config
第一條命令是講當前規則存到/etc/iptables-config文件中。
第二條命令是重啟iptables服務。
第三條命令是恢復文件/etc/iptables-config中的規則到當前系統。

『貳』 linux中iptables防火牆怎麼設置

一，安裝並啟動防火牆
［root@linux ~］# /etc/init.d/iptables start
當我們用iptables添加規則，保存後，這些規則以文件的形勢存在磁碟上的，以CentOS為例，文件地址是/etc/sysconfig/iptables，我們可以通過命令的方式去添加，修改，刪除規則，也可以直接修改/etc/sysconfig/iptables這個文件就行了。
1.載入模塊
/sbin/modprobe ip_tables
2.查看規則
iptables -L -n -v
3.設置規則
#清除已經存在的規則
iptables -F
iptables -X
iptables -Z
#默認拒絕策略（盡量不要這樣設置，雖然這樣配置安全性高，但同時會拒絕包括lo環路在內的所#有網路介面，導致出現其他問題。建議只在外網介面上做相應的配置）
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 規則
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地還回及tcp握手處理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT
#www-dns 規則
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 規則
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二，添加防火牆規則
1，添加filter表
1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //開放21埠
出口我都是開放的iptables -P OUTPUT ACCEPT，所以出口就沒必要在去開放埠了。
2，添加nat表
1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
將源地址是 192.168.10.0/24 的數據包進行地址偽裝
3，-A默認是插入到尾部的，可以-I來插入到指定位置
1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.［root@linux ~］# iptables -L -n --line-number
3.Chain INPUT （policy DROP）
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默認插到最後
13.Chain FORWARD （policy ACCEPT）
14.num target prot opt source destination
15.Chain OUTPUT （policy ACCEPT）
16.num target prot opt source destination
三，查下iptable規則
1，查看filter表
1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以顯示規則序號，在刪除的時候比較方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的話，默認就是filter表，查看，添加，刪除都是的
2，查看nat表
1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四，修改規則
1.［root@linux ~］# iptables -R INPUT 3 -j DROP //將規則3改成DROP
五，刪除iptables規則
1.［root@linux ~］# iptables -D INPUT 3 //刪除input的第3條規則
2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //刪除nat表中postrouting的第一條規則
3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有規則
4.［root@linux ~］# iptables -F //清空所有規則
5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有規則
六，設置默認規則
1.［root@linux ~］# iptables -P INPUT DROP //設置filter表INPUT默認規則是 DROP
所有添加，刪除，修改後都要保存起來，/etc/init.d/iptables save.上面只是一些最基本的操作，要想靈活運用，還要一定時間的實際操作。
iptables配置常規映射及軟路由
作用：虛擬化雲平台伺服器網段192.168.1.0/24 通過一台linux伺服器（eth0:192.168.1.1、eth1:10.0.0.5）做軟路由達到訪問10.0.0.5能訪問的網路范圍，並且通過iptables的NAT映射提供服務。
NAT 映射網路埠：
效果： 10.0.0.5:2222 —-》 192.168.1.2:22
命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意：1.在192.168.1.2的網路配置上需要將NAT主機的內網ip即192.168.1.1作為默認網關，如果10.0.0.5具有公網訪問許可權，dns則設置成公網對應dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主機上需要開啟轉發才能生效
軟路由192.168.1.0/24通過10.0.0.5訪問外網：
命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart

『叄』 求5條iptables命令關閉所有埠(除80埠外)，封鎖整個linux

1、關閉所有的 INPUT FORWARD OUTPUT 只對某些埠開放。
下面是命令實現：
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否設置好， 好看到全部 DROP 了
這樣的設置好了，我們只是臨時的， 重啟伺服器還是會恢復原來沒有設置的狀態
還要使用 service iptables save 進行保存
看到信息 firewall rules 防火牆的規則 其實就是保存在 /etc/sysconfig/iptables
可以打開文件查看 vi /etc/sysconfig/iptables
2、下面我只打開22埠，看我是如何操作的，就是下面2個語句
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再查看下 iptables -L -n 是否添加上去, 看到添加了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
現在Linux伺服器只打開了22埠，用putty.exe測試一下是否可以鏈接上去。
可以鏈接上去了，說明沒有問題。
最後別忘記了保存 對防火牆的設置
通過命令：service iptables save 進行保存
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
針對這2條命令進行一些講解吧
-A 參數就看成是添加一條 INPUT 的規則
-p 指定是什麼協議 我們常用的tcp 協議，當然也有udp 例如53埠的DNS
到時我們要配置DNS用到53埠 大家就會發現使用udp協議的
而 --dport 就是目標埠 當數據從外部進入伺服器為目標埠
反之 數據從伺服器出去 則為數據源埠 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收

『肆』 如何使用iptables命令為Linux系統配置防火牆

構築防火牆之IPtables搭建防火牆的規則
一般情況下,iptables已經包含在了Linux發行版中,可以運行iptables
--version來查看...並且大部分發行版都會有一個已經預先配置好的防火牆。不同的發行版的
配置文件
位置不盡相同,我們可以使用命令locate

『伍』 Linux裡面iptable和firewall區別是什麼

1.1 Firewalld和iptables的區別

firewalld自身並不具備防火牆的功能，而是和iptables一樣需要通過內核的netfilter來實現，也就是說firewalld和iptables一樣，他們的作用都是用於維護規則，而真正使用規則幹活的是內核的netfilter，只不過firewalld和iptables的結構以及使用方法不一樣罷了。

說明一下 firewalld 和 iptables 之間的關系， firewalld 提供了一個 daemon 和 service，還有命令行和圖形界面配置工具，它僅僅是替代了 iptables service 部分，其底層還是使用 iptables 作為防火牆規則管理入口。firewalld 使用 python 語言開發，在新版本中已經計劃使用 c++ 重寫 daemon 部分。

請點擊輸入

圖1-1 firewalld和iptables的聯系及區別

『陸』 iptables是什麼

iptables－－靜態防火牆 iptables是復雜的，它集成到linux內核中。用戶通過iptables，可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則，來把守你的計算機網路——哪些數據允許通過，哪些不能通過，哪些通過的數據進行記錄（log) 記到哦!關注《linux就該這么學》，小白輕松變大牛。

『柒』 iptables命令詳解是什麼

iptables的主要功能是實現對網路數據包進出設備及轉發的控制。當數據包需要進入設備、從設備中流出或者經該設備轉發、路由時，都可以使用iptables進行控制。

iptables命令的語法規則：

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION；

-t table，是指操作的表，filter、nat、mangle或raw, 默認使用filter；

COMMAND，子命令，定義對規則的管理；

chain：指明鏈路；

CRETIRIA：匹配的條件或標准；

ACTION：操作動作；

命令說明

Iptables 是用來設置、維護和檢查Linux內核的IP包過濾規則的。

可以定義不同的表，每個表都包含幾個內部的鏈，也能包含用戶定義的鏈。每個鏈都是一個規則列表，對對應的包進行匹配：每條規則指定應當如何處理與之相匹配的包。這被稱作'target'（目標），也可以跳向同一個表內的用戶定義的鏈。

以上內容參考：網路-IPTABLES

『捌』 Linux裡面iptables作用是什麼

iptables簡稱netfilter/iptables（簡稱為iptables）組成Linux平台下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。
iptables基礎
規則（rules）其實就是網路管理員預定義的條件，規則一般的定義為「如果數據包頭符合這樣的條件，就這樣處理這個數據包」。規則存儲在內核空間的信息包過濾表中，這些規則分別制定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的主要工作就是添加、修改和刪除這些規則。
iptables和netfilter的關系
這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是netfilter，它是Linux內核中實現包過濾的內部結構。
iptables傳輸數據包的過程
① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。