iptables命令使用

iptables [-t TABLE] SUBCOMMAND CHAINCRETERIA -j TARGET

-t TABLE:

默认为filter, 共有filter, nat, mangle, raw四个可用；

SUBCOMMAND：

链：

-F：flush，清空指定表的指定链上所有规则；省略链名时，清空表中的所有链；
示例:
# iptables -t filter -F INPUT #只清空filter表中的INPUT链
# iptables -t nat #清空整个nat表

-N：new, 新建一个用户自定义的链；自定义链只能作为默认链上的跳转对象，即在默认链通过引用来生效自定义链；
示例 : 创建新的链 webfules
[root@localhost ~]# iptables -t filter -N webrules-X：drop，删除用户自定义的空链；非空自定义链和内置链无法删除；
示例 删除webrules
# iptables -t filter -X webrules-Z：zero，将规则的计数器置0；
-P：policy，设置链的默认处理机制；当所有都无法匹配或有匹配有无法做出有效处理机制时，默认策略即生效；
示例:设置filter表的forward链的默认策略为DROP
# iptables -t filter -P FORWARD DROPfilter表的可用策略：ACCEPT(接受), DROP(丢弃), REJECT(拒绝)-E：rename，重命名自定义链；
示例: 讲webrules 修改为httpdrules
# iptables -t filter -E webrules httpdrules 注意：被引用中的链，无法删除和改名

规则管理：

-A：append，在链尾追加一条规则；
-I：insert，在指定位置插入一条规则；默认会在第一条
-D：delete，删除指定的规则；
-R：replace，替换指定的规则；

规则查看：

-L：list，列出指定链上的所有规则；
-n:numeric，以数字格式显示地址和端口号，即不反解；-v:verbose，详细格式，显示规则的详细信息，包括规则计数器等；-vv:-vvv:--line-numbers:显示规则编号；-x:exactly，显示计数器的精确值；# iptables -L -n -v
pkts bytes target prot opt in out source destination pkts: 被本规则所匹配到的包个数；
bytes：被本规则所匹配到的所包的大小之和；
target: 处理目标 （目标可以为用户自定义的链）
prot: 协议 {tcp,udp, icmp}
opt: 可选项
in: 数据包流入接口
out: 数据包流出接口
source: 源地址
destination: 目标地址；

CRETERIA:匹配条件

通用匹配

-s,--src, --source IP|Network：检查报文中的源IP地址；
[!] -s, --src, --source IP|Network：检查报文中的源IP地址进行取反；
-d,--dst, --destination：检查报文中的目标IP地址；
-p,--protocol：检查报文中的协议，即ip首部中的protocols所标识的协议；tcp、udp或icmp三者之一；
-i,--in-interface：数据报文的流入接口；通常只用于PREROUTING, INPUT, FORWARD链上的规则；
-o,--out-interface：检查报文的流出接口；通常只用于FORWARD, OUTPUT, POSTROUTING链上的规则；
示例：
放行172.16.6.62 对172.16.6.61所有服务的访问

# iptables -t filter -I INPUT-s 172.16.6.62 -d 172.16.6.61 -j ACCEPT
修改上一条规则为: 只允许来自172.16.6.62主机对本级172.16.6.61 tcp的访问请求
# iptables -t filter -R INPUT 1-s 172.16.6.62 -d 172.16.6.61 -p tcp -j ACCEPT放行172.16.6.62 对172.16.6.61 ping请求
# iptables -t filter -A INPUT-s 172.16.6.62 -d 172.16.6.61 -p icmp -j ACCEPT限制172.16.6.62对本级172.16.6.61的ping请求只能通过eth0进入
# iptables -t filter -R INPUT 1-s 172.16.6.62 -d 172.16.6.61 -i eth0 -p icmp -j ACCEPT

扩展匹配

扩展匹配：使用iptables的模块实现进一步扩展性检查机制
隐式扩展 对通用匹配中-p中指定的对指定的协议的扩展-p tcp: TCP协议的扩展 --dport PORT[-PORT] #目标端口
--sport : 源端口
--tcp-flags LIST1 LIST2
LIST1:要检查的标志位；
LIST2：在LIST1中出现过的，且必须为1标记位；而余下的则必须为0;
示例:
# iptables -t filter -I INPUT 1 -s 172.16.6.62 -d 172.16.6.61 -ptcp --tcp-flags syn,ack,fin,rst syn -j ACCEPT # iptables -t filter -I INPUT 1 -s 172.16.6.62 -d 172.16.6.61 -ptcp --syn -j ACCEPT-p udp: dup协议的扩展--sport : 源端口 --dport : 目标端口
-p icmp: icmp协议的扩展--icmp-types 8:echo request # 8 响应请求（ECHO-REQUEST）
0：echo reply #0 响应应答（ECHO-REPLY）
阻止172.16.6.62 对本机172.16.6.1 httpd服务的访问

# iptables -t filter -I INPUT 1-s 172.16.6.62 -d 172.16.6.61 -p tcp -m tcp --dport 80 -j DROP

显式扩展

显式扩展：必须指明使用的扩展机制(模块名字)；
-m模块名称 每个模块会引入新的匹配机制；
想知道有哪些模块可用吗？
## rpm -ql iptables| grep so$ #查看已有模块[root@localhost ~]# rpm -qliptables| grep .so$/lib64/xtables/libipt_CLUSTERIP.so/lib64/xtables/libipt_DNAT.so/lib64/xtables/libipt_ECN.so/lib64/xtables/libipt_LOG.so#小写字母，以.so结尾；通常都为扩展模块 如： libipt_CLUSTERIP.so 其中CLUSTERIP为模块名字

-m multiport 扩展：
以离散定义多端口匹配；最多指定15个端口；
multiport专用选项：
--source-ports, --sports PORT[,PORT,...] #源端口
--destination-ports, --dports PORT[,PORT,...] #目标端口
--ports PORT[,PORT,...]
示例： 同时放行 22 80 443
# iptables-I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT-m iprange扩展指定连续的ip地址范围；在匹配非整个网络地址时使用；
专用选项：
[!]--src-range IP[-IP] #原地址范围
[!]--dst-range IP[-IP] #目标地址范围

示例： 放行本机telnet服务仅允许172.16.6.1-172.16.6.100的主机可以访问
iptables-A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range172.16.100.1-172.16.100.100 -j ACCEPTiptables-A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range172.16.100.1-172.16.100.100 -j ACCEPT-m string扩展：检查报文中出现的字符串，与给定的字符串作匹配；
字符串匹配检查算法：kmp, bm

专用选项：
--algo{kmp|bm}
--algo: 指定算法 常用字符串匹配的算法 kmp | bm
--string"STRING"
--string"要匹配的字符串"
--hex-string"HEX_STRING"：HEX_STRING为编码成16进制格式的字串；

示例：
#iptables-I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string"sex" --algo kmp -j REJECT(丢弃)-m time扩展：基于时间区间做访问控制
专用选项：
--datestartYYYY[-MM][-DD][hh[:mm[:ss]]] #从什么日期开始 年-月-日 小时：分：秒
--dattestop#到日期结束

--timestart#从什么时间开始
--timestop#到什么时间结束
--weekdays DAY1[,DAY2,...] #星期几 #iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT-m connlimit扩展：基于连接数作限制；对每个IP能够发起的并发连接数作限制；

专用选项：
--connlimit-above
不能超过多少#iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit--connlimit-above 5 -j REJECT-m limit扩展：基于发包速率作限制；

专用选项：令牌桶算法
--limit n[/second|/miniut|/hour|/day]
#n/second 每秒多少个数据包 ; #n/minit; 每分钟多少个数据包; #n/hour 每小时多少个数据包; #n/day 每天多少个数据包;--limit-burstn #最大突发速率
# iptables-R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute--limit-burst 5 -j ACCEPT