iptables常用命令及參數

作者：佚名 2011-03-15 09:59:57

iptables常用命令及參數：iptables是與最新的Linux內核集成的IP信息包過濾系統，它完全免費、功能強大、使用靈活、可以對流入和流出的信息進行細化控制，且可以在一臺低配置機器上很好地運行。本文將簡單介紹iptables常用命令及參數。

　　iptables 指令語法

　　iptables [-t table] command [match] [-j target/jump]

　　[-t table] 指定規則表

　　-t 參數用來，內建的規則表有三個，分別是：nat、mangle 和 filter，當未指定規則表時，則一律視為是 filter。個規則表的功能如下：

　　nat：此規則表擁有 PREROUTING 和 POSTROUTING 兩個規則鏈，主要功能為進行一對一、一對多、多對多等網址轉換工作(SNAT、DNAT)，這個規則表除了作網址轉換外，請不要做其它用途。

　　mangle：此規則表擁有 PREROUTING、FORWARD 和 POSTROUTING 三個規則鏈。除了進行網址轉換工作會改寫封包外，在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號，以進行后續的過濾)，這時就必須將這些工作定義在 mangle 規則表中，由于使用率不高，我們不打算在這里討論 mangle 的用法。

　　filter：這個規則表是默認規則表，擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈，這個規則表顧名思義是用來進行封包過濾的處理動作(例如：DROP、 LOG、 ACCEPT 或 REJECT)，我們會將基本規則都建立在此規則表中。

#p#

　　command 常用命令列表：

　　命令 -A, --append

　　范例

iptables -A INPUT ...

　　說明新增規則到某個規則鏈中，該規則將會成為規則鏈中的最后一條規則。

　　命令 -D, --delete

　　范例

iptables -D INPUT --dport 80 -j DROP  
 
iptables -D INPUT 1

　　說明從某個規則鏈中刪除一條規則，可以輸入完整規則，或直接指定規則編號加以刪除。

　　命令 -R, --replace

　　范例

iptables -R INPUT 1 -s 192.168.0.1 -j DROP

　　說明取代現行規則，規則被取代后并不會改變順序。

　　命令 -I, --insert

　　范例

iptables -I INPUT 1 --dport 80 -j ACCEPT

　　說明插入一條規則，原本該位置上的規則將會往后移動一個順位。

　　命令 -L, --list

　　范例1

iptables -L INPUT

　　說明列出某規則鏈中的所有規則。

　　范例2

iptables -t nat -L

　　說明列出nat表所有鏈中的所有規則。

　　命令 -F, --flush

　　范例

iptables -F INPUT

　　說明刪除filter表中INPUT鏈的所有規則。

　　命令 -Z, --zero

　　范例

iptables -Z INPUT

　　說明將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。

　　命令 -N, --new-chain

　　范例

iptables -N allowed

　　說明定義新的規則鏈。

　　命令 -X, --delete-chain

　　范例

iptables -X allowed

　　說明刪除某個規則鏈。

　　命令 -P, --policy

　　范例

iptables -P INPUT DROP

　　說明定義過濾政策。也就是未符合過濾條件之封包，默認的處理方式。

　　命令 -E, --rename-chain

　　范例

iptables -E allowed disallowed

　　說明修改某自定義規則鏈的名稱。

　　[match] 常用封包匹配參數

　　參數 -p, --protocol

　　范例

iptables -A INPUT -p tcp

　　說明匹配通訊協議類型是否相符，可以使用 ! 運算符進行反向匹配，例如：

　　-p !tcp

　　意思是指除 tcp 以外的其它類型，如udp、icmp ...等。

　　如果要匹配所有類型，則可以使用 all 關鍵詞，例如：

　　-p all

　　參數 -s, --src, --source

　　范例

iptables -A INPUT -s 192.168.1.1

　　說明用來匹配封包的來源 IP，可以匹配單機或網絡，匹配網絡時請用數字來表示子網掩碼，例如：

　　-s 192.168.0.0/24

　　匹配 IP 時可以使用 ! 運算符進行反向匹配，例如：

　　-s !192.168.0.0/24。

　　參數 -d, --dst, --destination

　　范例

iptables -A INPUT -d 192.168.1.1

　　說明用來匹配封包的目的地 IP，設定方式同上。

　　參數 -i, --in-interface

　　范例

iptables -A INPUT -i eth0

　　說明用來匹配封包是從哪塊網卡進入，可以使用通配字符 + 來做大范圍匹配，例如：

　　-i eth+

　　表示所有的 ethernet 網卡

　　也可以使用 ! 運算符進行反向匹配，例如：

　　-i !eth0

　　參數 -o, --out-interface

　　范例

iptables -A FORWARD -o eth0

　　說明用來匹配封包要從哪塊網卡送出，設定方式同上。

　　參數 --sport, --source-port

　　范例

iptables -A INPUT -p tcp --sport 22

　　說明用來匹配封包的源端口，可以匹配單一端口，或是一個范圍，例如：

　　--sport 22:80

　　表示從 22 到 80 端口之間都算是符合條件，如果要匹配不連續的多個端口，則必須使用 --multiport 參數，詳見后文。匹配端口號時，可以使用 ! 運算符進行反向匹配。

　　參數 --dport, --destination-port

　　范例

iptables -A INPUT -p tcp --dport 22

　　說明用來匹配封包的目的地端口號，設定方式同上

　　參數 --tcp-flags

　　范例

iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

　　說明匹配 TCP 封包的狀態標志，參數分為兩個部分，第一個部分列舉出想匹配的標志，第二部分則列舉前述標志中哪些有被設置，未被列舉的標志必須是空的。TCP 狀態標志包括：SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急) 、PSH(強迫推送) 等均可使用于參數中，除此之外還可以使用關鍵詞 ALL 和 NONE 進行匹配。匹配標志時，可以使用 ! 運算符行反向匹配。

　　參數 --syn

　　范例

iptables -p tcp --syn

　　說明用來表示TCP通信協議中，SYN位被打開，而ACK與FIN位關閉的分組，即TCP的初始連接，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 !運算符，可用來匹配非要求連接封包。

#p#

　　參數 -m multiport --source-port

　　范例

iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110

　　說明用來匹配不連續的多個源端口，一次最多可以匹配 15 個端口，可以使用 ! 運算符進行反向匹配。

　　參數 -m multiport --destination-port

　　范例

iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110

　　說明用來匹配不連續的多個目的地端口號，設定方式同上

　　參數 -m multiport --port

　　范例

iptables -A INPUT -p tcp -m multiport --port 22,53,80,110

　　說明這個參數比較特殊，用來匹配源端口和目的端口號相同的封包，設定方式同上。注意：在本范例中，如果來源端口號為 80目的地端口號為 110，這種封包并不算符合條件。

　　參數 --icmp-type

　　范例

iptables -A INPUT -p icmp --icmp-type 8

　　說明用來匹配 ICMP 的類型編號，可以使用代碼或數字編號來進行匹配。請打 iptables -p icmp --help 來查看有哪些代碼可用。

　　參數 -m limit --limit

　　范例

iptables -A INPUT -m limit --limit 3/hour

　　說明用來匹配某段時間內封包的平均流量，上面的例子是用來匹配：每小時平均流量是否超過一次 3 個封包。除了每小時平均次外，也可以每秒鐘、每分鐘或每天平均一次，默認值為每小時平均一次，參數如后： /second、 /minute、/day。除了進行封包數量的匹配外，設定這個參數也會在條件達成時，暫停封包的匹配動作，以避免因駭客使用洪水攻擊法，導致服務被阻斷。

　　參數 --limit-burst

　　范例

　　iptables -A INPUT -m limit --limit-burst 5

　　說明用來匹配瞬間大量封包的數量，上面的例子是用來匹配一次同時涌入的封包是否超過 5 個(這是默認值)，超過此上限的封包將被直接丟棄。使用效果同上。

　　參數 -m mac --mac-source

　　范例

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

　　說明用來匹配封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 POSTROUTING 規則鏈上，這是因為封包要送到網卡后，才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址，所以 iptables 在進行封包匹配時，并不知道封包會送到哪個網絡接口去。

　　參數 --mark

　　范例

　　iptables -t mangle -A INPUT -m mark --mark 1

　　說明用來匹配封包是否被表示某個號碼，當封包被匹配成功時，我們可以透過 MARK 處理動作，將該封包標示一個號碼，號碼最大不可以超過 4294967296。

　　參數 -m owner --uid-owner

　　范例

　　iptables -A OUTPUT -m owner --uid-owner 500

　　說明用來匹配來自本機的封包，是否為某特定使用者所產生的，這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出，可以降低系統被駭的損失。可惜這個功能無法匹配出來自其它主機的封包。

　　參數 -m owner --gid-owner

　　范例

　　iptables -A OUTPUT -m owner --gid-owner 0

　　說明用來匹配來自本機的封包，是否為某特定使用者群組所產生的，使用時機同上。

　　參數 -m owner --pid-owner

　　范例

　　iptables -A OUTPUT -m owner --pid-owner 78

　　說明用來匹配來自本機的封包，是否為某特定進程所產生的，使用時機同上。

　　參數 -m owner --sid-owner

　　范例

　　iptables -A OUTPUT -m owner --sid-owner 100

　　說明用來匹配來自本機的封包，是否為某特定連接(Session ID)的響應封包，使用時機同上。

　　參數 -m state --state

　　范例

　　iptables -A INPUT -m state --state RELATED,ESTABLISHED

　　說明用來匹配連接狀態，連接狀態共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。

　　INVALID 表示該封包的連接編號(Session ID)無法辨識或編號不正確。

　　ESTABLISHED 表示該封包屬于某個已經建立的連接。

　　NEW 表示該封包想要起始一個連接(重設連接或將連接重導向)。

　　RELATED 表示該封包是屬于某個已經建立的連接，所建立的新連接。例如：FTP-DATA 連接必定是源自某個 FTP 連接。

　　[-j target/jump] 常用的處理動作：

　　-j 參數用來指定要進行的處理動作，常用的處理動作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說明如下：

　　ACCEPT：將封包放行，進行完此處理動作后，將不再匹配其它規則，直接跳往下一個規則鏈(natostrouting)。

　　REJECT：攔阻該封包，并傳送封包通知對方，可以傳送的封包有幾個選擇：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(這個封包會要求對方關閉連接)，進行完此處理動作后，將不再匹配其它規則，直接中斷過濾程序。范例如下：

　　iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

　　DROP：丟棄封包不予處理，進行完此處理動作后，將不再匹配其它規則，直接中斷過濾程序。

　　REDIRECT：將封包重新導向到另一個端口(PNAT)，進行完此處理動作后，將會繼續匹配其它規則。這個功能可以用來實現透明代理或用來保護 web 服務器。例如：

　　iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

　　MASQUERADE：改寫封包來源 IP 為防火墻 NIC IP，可以指定 port 對應的范圍，進行完此處理動作后，直接跳往下一個規則鏈(manglepostrouting)。這個功能與SNAT 略有不同，當進行 IP 偽裝時，不需指定要偽裝成哪個 IP，IP會從網卡直接讀取，當使用撥號接連時，IP通常是由ISP公司的DHCP 服務器指派的，這個時候 MASQUERADE 特別有用。范例如下：

　　iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

　　LOG：將封包相關訊息紀錄在 /var/log 中，詳細位置請查閱 /etc/syslog.conf 配置文件，進行完此處理動作后，將會繼續匹配其規則。例如：

　　iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

　　SNAT：改寫封包來源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對應的范圍，進行完此處理動作后，將直接跳往下一個規則(mangleostrouting)。范例如下：

　　iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source?194.236.50.155-194.236.50.160:1024-32000

　　DNAT：改寫封包目的地 IP 為某特定 IP 或 IP 范圍，可以指定 port 對應的范圍，進行完此處理動作后，將會直接跳往下一個規則鏈(filter:input 或 filter:forward)。范例如下：

　　iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100

　　MIRROR：鏡射封包，也就是將來源 IP 與目的地 IP 對調后，將封包送回，進行完此處理動作后，將會中斷過濾程序。

　　QUEUE：中斷過濾程序，將封包放入隊列，交給其它程序處理。通過自行開發的處理程序，可以進行其它應用，例如：計算連接費用等。

　　RETURN：結束在目前規則鏈中的過濾程序，返回主規則鏈繼續過濾，如果把自定義規則鏈看成是一個子程序，那么這個動作，就相當于提前結束子程序并返回到主程序中。

　　MARK：將封包標上某個代號，以便提供作為后續過濾的條件判斷依據，進行完此處理動作后，將會繼續匹配其它規則。范例如下：

　　iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

【編輯推薦】

iptables的啟動和關閉

Iptables 詳細介紹

使用netfilter/iptables構建防火墻

責任編輯：zhaolei 來源： linux.GOV

iptables 命令參數