Полезные команды iptables · Шпаргалка для блога

iptables — утилита для настройки брандмауэра в Linux. Команды сгруппированы для быстрого поиска.

Синтаксис

iptables -t [таблица] [команда] [цепочка] [номер] [условие] -j [действие]
        

Таблицы: filter (по умолч.), nat, mangle, raw

Команды

Ключ	Описание / пример
-A	Добавить в конец: iptables -A INPUT -s 192.168.0.15 -j DROP
-I [N]	Вставить с номером: iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
-D [N]	Удалить по номеру: iptables -D INPUT 3
-R [N]	Заменить: iptables -R OUTPUT 1 -d 8.8.8.8 -j ACCEPT
-F	Очистить правила: iptables -F INPUT
-P	Политика по умолч.: iptables -P INPUT DROP
-L --line-numbers	Показать правила с номерами

Условия

Ключ	Описание
-p	Протокол: tcp, udp, icmp, all
-s / -d	IP источник / назначения (10.0.0.0/24)
--dport / --sport	Порт назначения / источник
-i / -o	Интерфейс входящий / исходящий
-m state --state	NEW, ESTABLISHED, RELATED
-m multiport	Несколько портов: --dports 80,443,8080
!	Инверсия: -s ! 1.1.1.1

Действия (-j)

Действие	Таблица	Описание
ACCEPT / DROP	filter	Разрешить / Запретить
REJECT	filter	Запретить с ответом
SNAT / DNAT	nat	Смена адреса источника/назначения
MASQUERADE	nat	SNAT для динамических IP
REDIRECT	nat	Перенаправление на другой порт
LOG	все	Запись в лог

Практические примеры

Базовая настройка

iptables -P INPUT DROP — запрет входящих по умолч.
iptables -P OUTPUT ACCEPT — исходящие разрешены
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT — ответные пакеты
iptables -A INPUT -i lo -j ACCEPT — локальный интерфейс
iptables -A INPUT -p icmp -j ACCEPT — разрешить ping
iptables -A INPUT -p tcp --dport 22 -j ACCEPT — открыть SSH

Блокировка

iptables -I INPUT -s 45.33.22.11 -j DROP — заблокировать IP
iptables -A INPUT -p tcp --dport 25 -j DROP — закрыть SMTP
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.0/24 -j ACCEPT — MySQL только для локальной сети
iptables -A INPUT -p tcp --dport 22 -s 0.0.0.0/0 -j DROP — закрыть SSH для всех (если выше есть разрешение)

Проброс портов

Задача	Команды
Внешний порт 8022 → 192.168.1.10:22	iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8022 -j DNAT --to-destination 192.168.1.10:22 iptables -A FORWARD -p tcp -d 192.168.1.10 --dport 22 -j ACCEPT
NAT для интернета	iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
SNAT (фикс. IP)	iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 95.25.14.10
Диапазон портов	iptables -t nat -A PREROUTING -p tcp --dport 1000:2000 -j DNAT --to-destination 192.168.1.15 iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 1000:2000 -j ACCEPT
Локальный проброс	iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

Важно: Для проброса портов нужно разрешить форвардинг:
sysctl -w net.ipv4.ip_forward=1 и разрешить FORWARD.

Просмотр и удаление правил

Команда	Описание
iptables -L -n -v --line-numbers	Показать все правила с номерами
iptables -t nat -L -n --line-numbers	Правила в таблице nat
iptables -D INPUT 5	Удалить правило 5 в INPUT
iptables -F	Очистить все правила в filter
iptables -t nat -F	Очистить nat таблицу
iptables -X	Удалить пользовательские цепочки

Расширенные правила

# Несколько портов одной строкой
iptables -A INPUT -p tcp -m multiport --dports 20,21,25,80,443,3000:4000 -j ACCEPT

# Запретить все кроме подсети
iptables -A INPUT -s ! 192.168.1.0/24 -p tcp --dport 3306 -j DROP

# Защита SSH от брутфорса
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

# Логирование сброшенных пакетов
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "IPT-DROP: "
        

Сохранение правил

Debian/Ubuntu

apt install iptables-persistent

netfilter-persistent save

или

iptables-save > /etc/iptables/rules.v4

CentOS/RHEL

yum install iptables-services

systemctl enable iptables

service iptables save

файл: /etc/sysconfig/iptables

Универсальный

iptables-save > /etc/iptables.rules

iptables-restore < /etc/iptables.rules

CentOS / Ubuntu — особенности

CentOS 7+ — вместо iptables используется firewalld:

systemctl stop firewalld

systemctl disable firewalld

systemctl enable iptables

systemctl start iptables

Ubuntu — по умолчанию ufw:

ufw disable

apt install iptables-persistent

Сброс настроек (все разрешить)

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
        

Эти команды сбрасывают все правила и открывают трафик. Используйте, если заблокировали себя.

Категории

Полезные команды iptables · Шпаргалка для блога

Синтаксис

Команды

Условия

Действия (-j)

Практические примеры

Базовая настройка

Блокировка

Проброс портов

Просмотр и удаление правил

Расширенные правила

Сохранение правил

CentOS / Ubuntu — особенности

Сброс настроек (все разрешить)

Комментарии

Оставить комментарий

Категории

Полезные команды iptables · Шпаргалка для блога

Синтаксис

Команды

Условия

Действия (-j)

Практические примеры

Базовая настройка

Блокировка

Проброс портов

Просмотр и удаление правил

Расширенные правила

Сохранение правил

CentOS / Ubuntu — особенности

Сброс настроек (все разрешить)

Комментарии

Оставить комментарий

Обратная связь