本章涉及命令如下:

wKioL1jHiVzgBbL6AAAi8p_X3UM051.png

11.31 wget

功能:非交互式网络下载,类似于HTTP客户端

常用选项:

-b,  --background         后台运行

日志记录和输入文件:

-o,  --output-file=FILE      日志写到文件

-a, --append-output=FILE     日志追加到文件

-d,  --debug              打印debug信息,会包含头信息

-q,  --quiet              退出,不输出

-i,  --input-file=FILE      从文件中读取URL下载

下载选项:

-t,  --tries=NUMBER         设置链接重试次数

-O, --output-document=FILE     写入内容到文件

-nc, --no-clobber            跳过下载现有的文件

-c,  --continue            断点续传

--progress=TYPE             设置进度条(dot和bar)

-S,  --server-response        打印服务器响应头信息

--spider             不下载任何内容

-T, --timeout=SECONDS    设置相应超时时间(还有--dns-timeout、--connect-timeout和--read-timeout)

-w,  --wait=SECONDS     两次重试间隔等待时间

--bind-address=ADDRESS    设置绑定地址

--limit-rate=RATE      限制下载速度

--user=USER         设置ftp和http用户名

--password=PASS       设置ftp和http密码

目录:

-P, --directory-prefix=PREFIX  保存文件目录

HTTP选项:

--http-user=USER     设置http用户名

--http-password=PASS   设置http密码

--proxy-user=USER     设置代理用户名

--proxy-password=PASS  设置代理密码

--referer=URL       设置Referer

--save-headers      保存头到文件

--default-page=NAME    改变默认页面名字,默认index.html

-U,--user-agent=AGENT  设置客户端信息

--no-http-keep-alive   禁用HTTP keep-alive(长连接)

--load-cookies=FILE    从文件加载cookies

--save-cookies=FILE    保存cookies到文件

--post-data=STRING     使用POST方法,发送数据

FTP选项:

--ftp-user=USER      设置ftp用户名

--ftp-password=PASS    设置ftp密码

--no-passive-ftp      禁用被动传输模式

递归下载:

-r, --recursive       指定递归下载

-l, --level=NUMBER     最大递归深度

-A, --accept=LIST      逗号分隔下载的扩展列表

-R, --reject=LIST      逗号分隔不被下载的扩展列表

-D, --domains=LIST     逗号分隔被下载域的列表

--exclude-domains=LIST   排除不被下载域的列表

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
下载单个文件到当前目录:
# wget http://nginx.org/download/nginx-1.11.7.tar.gz
放到后台下载:
# wget -b http://nginx.org/download/nginx-1.11.7.tar.gz
对于网络不稳定的用户使用-c和--tries参数,保证下载完成,并下载到指定目录:
# wget -t 3 -c http://nginx.org/download/nginx-1.11.7.tar.gz -P down
不下载任何内容,判断URL是否可以访问:
# wget --spider http://nginx.org/download/nginx-1.11.7.tar.gz
下载内容写到文件:
# wget http://www.baidu.com/index.html -O index.html
从文件中读取URL下载:
# wget -i url.list
下载 ftp 文件:
# wget --ftp-user=admin --ftp-password=admin ftp://192.168.1.10/ISO/CentOS-6.5-i386-minimal.iso
伪装客户端,指定user-agent和referer下载:
# wget -U "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36" --referer "http://nginx.org/en/download.html" http://nginx.org/download/nginx-1.11.7.tar.gz
查看HTTP头信息:
# wget -S http://nginx.org/download/nginx-1.11.7.tar.gz
# wget --debug http://nginx.org/download/nginx-1.11.7.tar.gz

博客地址:http://lizhenliang.blog.51cto.com

QQ群:323779636(Shell/Python运维开发群)

11.32 curl

功能:发送数据到URL,类似于HTTP客户端

常用选项:

-C, --continue-at  断点续传

-b, --cookie STRING/FILE 从文件中读取cookie

-c, --cookie-jar   把cookie保存到文件

-d, --data       使用POST方式发送数据

--data-urlencode   POST的数据URL编码

-F, --form       指定POST数据的表单

-D, --dump-header  保存头信息到文件

--ftp-pasv      指定FTP连接模式PASV/EPSV

-P, --ftp-port    指定FTP端口

-L, --location    遵循URL重定向,默认不处理

-l, --list-only   指列出FTP目录名

-H, --header     自定义头信息发送给服务器

-I, --head      查看HTTP头信息

-o, --output FILE   输出到文件

-#, --progress-bar  显示bar进度条

-x, --proxy[PROTOCOL://]HOST[:PORT]  使用代理

-U, --proxy-userUSER[:PASSWORD] 代理用户名和密码

-e, --referer      指定引用地址referer

-O, --remote-name  使用远程服务器上名字写到本地

--connect-timeout  连接超时时间,单位秒

--retry NUM      连接重试次数

--retry-delay     两次重试间隔等待时间

-s, --silent      静默模式,不输出任何内容

-Y, --speed-limit  限制下载速率

-u, --user USER[:PASSWORD] 指定http和ftp用户名和密码

-T, --upload-file   上传文件

-A, --user-agent   指定客户端信息

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
下载页面:
# curl -o badu.html http://www.baidu.com
不输出下载信息:
# curl -s -o baidu.html http://www.baidu.com
伪装客户端,指定user-agent和referer下载:
# curl -A "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36" -e "baike.baidu.com" http://127.0.0.1
模拟用户登录,并保存cookies到文件:
# curl -c ./cookies.txt -F NAME=user -F PWD=123 http://www.example.com/login.html
使用cookie访问:
# curl -b cookies.txt http://www.baidu.com
访问HTTP认证页面:
# curl -u user:pass http://www.example.com
FTP上传文件:
# curl -T filename ftp://user:pass@ip/a.txt
# curl ftp://ip -u user:pass-T filename
FTP下载文件:
# curl -O ftp://user:pass@ip/a.txt
# curl ftp://ip/filename -u user:pass -o filename
FTP下载多个文件:
# curl ftp://ip/img/[1,3,5].jpg
查看HTTP头信息:
# curl -I http://www.baidu.com

11.33 scp

功能:基于SSH的安全远程服务器文件拷贝

常用选项:

-i  指定私钥文件

-l  限制速率,单位Kb/s,1024Kb=1Mb

-P  指定远程主机SSH端口

-p  保存修改时间、访问时间和权限

-r  递归拷贝目录

-o  SSH选项,有以下常用的:

ConnectionAttempts=NUM  连接失败后重试次数

ConnectTimeout=SEC       连接超时时间

StrictHostKeyChecking=no  自动拉去主机key文件

PasswordAuthentication=no 禁止密码认证

示例:

1
2
3
4
5
本地目录推送到远程主机:
# scp -P 22 -r src_dir root@192.168.1.10:/dst_dir
远程主机目录拉取到本地:
# scp -P 22 root@192.168.1.10:dst_dir src_dir
同步文件方式一样,不用加-r参数

11.34 rsync

功能:远程或本地文件同步工具

常用选项:

-v  显示复制信息

-q  不输出错误信息

-c  跳过基础效验,不判断修改时间和大小

-a  归档模式,等效-rlptgoD,保留权限、属组等

-r  递归目录

-l  拷贝软连接

-z  压缩传输数据

-e  指定远程shell,比如ssh、rsh

--progress           进度条,等同-P

--bwlimit=KB/s       限制速率,0为没有限制

--delete            删除那些DST中SRC没有的文件

--exclude=PATTERN      排除匹配的文件或目录

--exclude-from=FILE    从文件中读取要排除的文件或目录

--password-file=FILE    从文件读取远程主机密码

--port=PORT          监听端口

示例:

1
2
3
4
5
6
7
8
9
10
11
12
本地复制目录:
# rsync -avz abc /opt
本地目录推送到远程主机:
# rsync -avz SRC root@192.168.1.120:DST
远程主机目录拉取到本地: 
# rsync -avz root@192.168.1.10:SRC DST
保持远程主机目录与本地一样:
# rsync -avz --delete SRC root@192.168.1.120:DST
排除某个目录:
# rsync -avz --exclude=no_dir SRC root@192.168.1.120:DST
指定SSH端口:
# rsync -avz /etc/hosts -e "ssh -p22" root@192.168.1.120:/opt

11.35 nohup

功能:运行命令,忽略所有挂起信号

常用选项:

示例:

1
2
后台运行程序,终端关闭不影响:
# nohup bash test.sh &>test.log &

11.36 iconv

功能:将文件内容字符集转成其他字符集

常用选项:

-l  列出所有已知的编码字符集

-f  编码原始文本

-t  输出的编码格式

-o  输出到文件

-s  不输出警告

示例:

1
2
3
4
5
6
将文件内容转换UTF8:
# iconv -f gbk -t utf8 old.txt -o new.txt
将csv文件转换GBK:
# iconv -f utf8 -t gbk old.txt -o new.txt
解决邮件乱码:
# echo $(echo "content" | iconv -f utf8 -t gbk) | mail -s "$(echo "title" | iconv -f utf8 -t gbk)" dst@163.com

11.37 uname

功能:打印系统信息

常用选项:

-a  打印所有信息

-s  打印内核名称

-n  打印主机名

-r  打印内核发行版

-v  打印内核版本

-m  打印机器硬件名

-p  打印处理器类型

-i  打印硬件平台

-o  打印操作系统

示例:

1
2
3
4
5
6
7
8
打印所有系统信息:
# uname -a
打印主机名:
# uname -a
打印内核版本:
# uname -r
打印操作系统:
# uname -o

11.38 sshpass

功能:非交互SSH登录(需要安装)

常用选项:

-f  从文件中获取密码

-d  用数字文件描述符获取密码

-p  密码作为参数

-e  密码作为环境变量传递,变量名是SSHPASS

示例:

1
2
3
4
5
6
免交互SSH登录:
# sshpass -p 123456 ssh root@192.168.1.10
免交互传输文件:
# sshpass -p 123456 scp a.txt 192.168.1.10:/root
密码传入系统变量:
# SSHPASS=123456 rsync -avz /etc/hosts -e "sshpass -e ssh" root@192.168.1.221:/opt

11.39 tar

功能:归档目录或文件

常用选项:

-c  创建新归档

-d  比较归档和文件系统的差异

-r  追加文件到归档

-t  存档的内容列表

-x  提取归档所有文件

-C  改变解压目录

-f  使用归档文件或设备归档

-j  bzip2压缩

-z  gzip压缩

-v  输出处理过程

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
创建归档文件来自foo和bar:
# tar -cf archive.tar foo bar
提取归档的所有文件:
# tar -xf archive.tar
创建归档并 gzip 压缩:
# tar -zcvf archive.tar.gz log
提取归档文件并 gzip 解压:
# tar -zxvf log.tar.gz 
创建归档并 bzip2 压缩:
# tar -jcvf log.tar.bz log
列出所有在archive. tar 的文件:
# tar -tvf archive.tar
提取归档并解压到指定目录:
# tar -zxvf log.tar.gz -C /opt

11.40 logger

功能:系统日志的shell命令行接口

常用选项:

-i  每行记录进程ID

-f  指定输出日志到文件

-p  设置记录的优先级

-t  添加标签

示例:

1
# logger -i -t "my_test" -p local3.notice "test_info"

11.41 netstat

功能:打印网络连接、路由表、接口统计信息、伪装连接和多播成员

常用选项:

-r  显示路由表

-i  显示接口表

-n  不解析名字

-p  显示程序名 PID/Program

-l  显示监听的socket

-a  显示所有socket

-o  显示计时器

-Z  显示上下文

-t  只显示tcp连接

-u  只显示udp连接

-s  显示每个协议统计信息

示例:

1
2
3
4
5
6
7
8
显示所有监听:
# netstat -anltu
显示所有TCP连接:
# netstat -antp
显示所有UDP连接:
# netstat -anup
显示路由表:
# netstat -r

11.42 ss

功能:比netstat更强大的socket查看工具

格式:ss [options] [ FILTER ]

常用选项:

-n  不解析名字

-a  显示所有socket

-l  显示所有监听的socket

-o  显示计时器

-e  显示socket详细信息

-m  显示socket内存使用

-p  显示进程使用的socket

-i  显示内部TCP信息

-s  显示socket使用汇总

-4  只显示IPV4的socket

-0  显示包socket

-t  只显示TCP socket

-u  只显示UDP socket

-d  只显示DCCP socket

-w  只显示RAW socket

-x  只显示Unix域socket

-f  FAMILY 只显示socket族类型( unix, inet,inet6, link, netlink)

-A  查询socket{all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]

-D  将原始的TCP socket转储到文件

-F  从文件中读取过滤信息

过滤:

-o  state  显示TCP连接状态信息

示例:

1
2
3
4
5
6
7
8
9
10
11
12
显示所有TCP连接:
# ss -t -a
显示所有UDP连接:
# ss -u –a
显示socket使用汇总:
# ss -s
显示所有建立的连接:
# ss -o state established
显示所有的TIME-WAIT状态:
# ss -o state TIME-WAIT
搜索所有本地进程连接到X Server:
# ss -x src /tmp/.X11-unix/*

11.43 lsof

功能:列出打开的文件

常用选项:

-i [i]  监听的网络地址,如果没有指定,默认列出所有。[i] 来自[46][protocol][@hostname|hostaddr][:service|port]

-U  列出Unix域socket文件

-p  指定PID

-u  指定用户名或UID所有打开的文件

+D  递归搜索

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
列出所有打开的文件:
# lsof
查看哪个进程占用文件:
# lsof /etc/passwd
列出所有打开的监听地址和unix域socket文件:
# lsof -i -U
列出80端口监听的进程:
# lsof -i:80
列出端口1-1024之间的所有进程:
# lsof -i:1-1024
列出所有TCP网络连接:
# lsof -i tcp
列出所有UDP网络连接:
# lsof -i udp
根据文件描述符列出打开的文件:
# lsof -d 1
列出某个目录被打开的文件:
# lsof +D /var/log
列出进程ID打开的文件:
# lsof -p 5373
打开所有登录用户名abc或user  id  1234,或PID 123或PID 456:
# lsof -p 123,456 -u 123,abc
列出COMMAND列中包含字符串sshd:
# lsof -c sshd

博客地址:http://lizhenliang.blog.51cto.com

QQ群:323779636(Shell/Python运维开发群)

11.44 ps

功能:报告当前进程的快照

常用选项:

-a  显示所有进程

-u  选择有效的用户ID或名称

-x  显示无控制终端的进程

-e  显示所有进程

-f  全格式

-r  只显示运行的进程

-T  这个终端的所有进程

-p  指定进程ID

--sort  对某列排序

-m  线程

-L  格式化代码列表

-o  用户自定义格式

CODE  NORMAL   HEADER

%C    pcpu     %CPU

%G    group    GROUP

%P    ppid     PPID

%U    user     USER

%a    args     COMMAND

%c    comm     COMMAND

%g    rgroup   RGROUP

%n    nice     NI

%p    pid      PID

%r    pgid     PGID

%t    etime    ELAPSED

%u    ruser    RUSER

%x    time     TIME

%y    tty      TTY

%z     vsz      VSZ

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
打印系统上所有进程标准语法:
# ps -ef
打印系统上所有进程BSD语法:
# ps aux
打印进程树:
# ps axjf 或 ps -ejH
查看进程启动的线程:
# ps -Lfp PID
查看当前用户的进程数:
# ps uxm 或 ps -U root -u root u 
自定义格式显示并对CPU排序:
# ps -eo user,pid,pcpu,pmem,nice,lstart,time,args --sort=-pcpu
或  ps  -eo  "%U %p %C %n %x %a"

11.45 top

功能:动态显示活动的进程和系统资源利用率

常用选项:

-d  信息刷新时间间隔

-p  只监控指定的进程PID

-i  只显示正在使用CPU的进程

-H  显示线程

-u  只查看指定用户名的进程

-b  将输出编排成易处理格式,适合输出到文件处理

-n  指定最大循环刷新数

交互命令:

f  添加或删除显示的指标

c  显示完整命令

P  按CPU使用百分比排序

M  按驻留内存大小排序

T  按进程使用CPU时间排序

1  显示每个CPU核心使用率

k  终止一个进程

示例:

1
2
3
4
5
刷新一次并输出到文件:
# top -b -n 1 > top.log
只显示指定进程的线程:
# top -Hp 123
传入交互命令,按CPU排序

11.46 free

功能:查看内存使用率

常用选项:

-b  bytes显示

-k  KB显示

-m  M显示

-g  G显示

-h  易读单位显示

-s  每几秒重复打印

-c  重复打印几次退出

示例:

1
2
3
4
查看物理内存:
# free -m
易读单位显示:
# free -h

11.47 df

功能:查看文件系统的磁盘空间使用情况

常用选项:

-a  包含虚拟文件系统

-h  可易读单位显示

-i  显示block使用的inode信息

-k  KB显示

-P  使用POSIX格式输出

-t  输出指定文件系统类型

-T  打印文件系统类型

示例:

1
2
3
4
查看所有文件系统:
# df -ah
输出指定文件系统:
# df -t xfs

11.48 vmstat

功能:报告虚拟内存、swap、io、上下文和CPU统计信息。

分析了这些文件:

/proc/meminfo

/proc/stat

/proc/*/stat

常用选项:

-a  打印活跃和不活跃的内存页

-d  打印硬盘统计信息

-D  打印硬盘表

-p  打印硬盘分区统计信息

-s  打印虚拟内存表

-m  打印内存分配(slab)信息

-t  添加时间戳到输出

-S  显示单位,默认k、KB、m、M,大写是*1024

示例:

1
2
3
4
分析系统性能:
# vmstat
每秒刷新一次,统计五次:
# vmstat -t 1 5 11.49 iostat

功能:报告CPU利用率和磁盘I/O

常用选项:

-c  显示CPU使用率

-d  只显示磁盘使用率

-k  单位KB/s代替Block/s

-m  单位MB/s代替Block/s

-N  显示所有映射设备名字

-t  打印报告时间

-x  显示扩展统计信息

示例:

1
2
3
4
显示CPU使用率:
# iostat -c 1 3
显示I /O 磁盘统计信息:
# iostat -d -x -k 1 3  # 间隔1秒,输出3次

11.50 sar

功能:查看系统资源综合方面利用率

常用选项:

-u, CPU

-r, memory

-b, disk

-n DEV, NIC traffic

-q, systemload

-b, TPS(Transaction Per Second,每秒事务处理量)

-o, output to file

示例:

1
2
3
# sar -u 2 3 #每两秒执行一次,采集三次
# sar -u 2 3 -o cpu.out
# sar -f cpu.out #读取文件

11.51 dstat

功能:查看系统资源综合方面利用率

常用选项:

-c, CPU

-d, disk

-m, memory(实际内存使用)

-n, net

-s, swap

-l, systemload

--tcp, tcp stats

--udp, udp stats

plugins:

--list  查看支持的插件

--disk-util

--disk-tps

--top-bio    查看最高block I/O进程

--top-bio-adv  查看最高block I/O进程,包括pid、r、w

--top-io

--top-io-adv

--top-cpu    查看最高使用CPU进程

--top-cpu-adv  查看最高CPU进程

--top-mem    查看最高使用内存进程

示例:

1
2
3
4
查看CPU利用率:
# dstat –c
查看TCP连接状态:
# dstat --tcp

11.52 ip

功能:查看/操作路由表,设备,路由策略和隧道

格式:ip [ OPTIONS] OBJECT { COMMAND | help }

常用选项:

-b, -batch<FILENAME>  从文件或标准输入读取命令并调用他们,第一次失败将终止

-force               批量模式有错误不终止,如果有错误则状态返回非0

-s, -statistics      输出更多的统计信息

-l, -loops<COUNT>  指定最大的循环数

操作对象(OBEJECT):

address  网络设备地址

12tp     以太网IP隧道

link     配置网络设备

maddress   多播地址

monitor   动态监控网络连接

mroute    多播路由缓存条目

mrule     角色在多播路由策略数据库

neighbour  管理ARP或NDISC缓存条目

netns     管理网络命名空间

ntable    管理neighbour缓存操作

route     路由表

rule     角色在路由策略数据库

tpc_metrics/tcpmetrics管理TCP指标

tunnel   IP隧道

tuntap   管理TUN/TAP设备

xfrm    管理IPSec策略

可通过ip OBEJECT help再查看对象的操作方法。

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
查看网络设备地址:
# ip addr
查看网卡统计信息:
# ip -s link
查看单个网卡统计信息:
# ip -s link ls eth0
查看ARP缓存表:
# ip neighbour
查看路由表:
# ip route
查看路由策略:
# ip rule
网卡设置/删除IP:
# ip addr add/del 192.168.1.201/24 dev eth0
添加/删除默认路由:
# ip route add/del default via 192.168.1.1
开启/关闭网卡:
# ip link set dev eth0 up/down
设置最大传输单元:
# ip link set dev eth0 mtu 1500
设置MAC地址:
# ip link set dev eth0 address 00:0c:29:52:73:8e

11.53 nc

功能:TCP和UDP连接和监听

常用选项:

-i interval 指定间隔时间发送和接受行文本

-l  监听模式,管理传入的连接

-n  不解析域名

-p  指定本地源端口

-r  指定本地和远程主机端口

-s  指定本地源IP地址

-u  使用udp协议,默认是tcp

-v  执行过程输出

-w  timeout 连接超时时间

-x  proxy_address[:port]  请求连接主机使用代理地址和端口

-z  指定扫描监听端口,不发送任何数据

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
端口扫描:
# nc -z 192.168.1.10 1-65535
TCP协议连接到目标端口:
# nc -p 31337 -w 5 192.168.1.10 22
UDP协议连接到目的端口:
# nc -u 192.168.1.10 53
指定本地IP连接:
# nc -s 192.168.1.9 192.168.1.10 22
探测端口是否开启:
# nc -z -w 2 192.168.1.10 22
创建监听Unix域Socket:
# nc -lU /var/tmp/ncsocket
通过HTTP代理连接主机:
# nc -x10.2.3.4:8080 -Xconnect 10.0.0.10 22 
监听端口捕获输出到文件:
# nc -l 1234 > filename.out
从文件读入到指定端口:
# nc host.example.com 1234 < filename.in
收发信息:
# nc -l 1234
# nc 127.0.0.1 1234
执行memcahced命令: printf  "stats\n"  |nc 127.0.0.1 11211
发送邮件:
# nc [-C] localhost 25 << EOF
            HELO host.example.com
            MAIL FROM: <user@host.example.com>
            RCPT TO: <user2@host.example.com>
            DATA
            Body of email.
            .
            QUIT
            EOF
# echo -n "GET / HTTP/1.0\r\n\r\n" | nc host.example.com 80

11.54 time

功能:执行脚本时间

常用选项:

示例:

1
2
查看执行 ls 所需的时间:
# time ls

11.55 ssh

功能:

常用选项:

示例:

11.56 iptables

常见几种类型防火墙?

包过滤防火墙:包过滤是IP层实现,包过滤根据数据包的源IP、目的IP、协议类型(TCP/UDP/ICMP)、源端口、目的端口等包头信息及数据包传输方向灯信息来判断是否允许数据包通过。

应用层防火墙:也称为应用层代理防火墙,基于应用层协议的信息流检测,可以拦截某应用程序的所有封包,提取包内容进行分析。有效防止SQL注入或者XSS(跨站脚本攻击)之类的恶意代码。

状态检测防火墙:结合包过滤和应用层防火墙优点,基于连接状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表(通信信息,应用程序信息等),通过规则表与状态表共同配合,对表中的各个连接状态判断。

iptables是Linux下的配置防火墙的工具,用于配置Linux内核集成的IP信息包过滤系统,使增删改查信息包过滤表中的规则更加简单。

iptables分为四表五链,表是链的容器,链是规则的容器,规则指定动作。

四表:

filter

用于包过滤

nat

网络地址转发

mangle

对特定数据包修改

raw

不做数据包链接跟踪

五链:

INPUT

本机数据包入口

OUTPUT

本机数据包出口

FORWARD

经过本机转发的数据包

PREROUTING

防火墙之前,修改目的地址(DNAT)

POSTROUTING

防火墙之后,修改源地址(SNAT)

表中的链:

filter

INPUT、OUTPUT和FORWARD

nat

PREROUTING、POSTROUTING和OUTPUT

mangle

PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD

raw

PREROUTING和OUTPUT

命令格式:iptables [-t table] 命令 [chain] 匹配条件 动作

命令

描述

-A,append

追加一条规则

-I,insert

插入一条规则,默认链头,后跟编号,指定第几条

-D,delete

删除一条规则

-F,flush

清空规则

-L,list

列出规则

-P,policy

设置链缺省规则

-m,module

模块,比如state、multiport

 

匹配条件

描述

-i

入口网卡

-o

出口网卡

-s

源地址

-d

目的地址

-p

协议类型

--sport

源端口

--dport

目的端口

 

动作

描述

ACCEPT

允许数据包通过

DROP

丢弃数据包不做处理

REJECT

拒绝数据包,并返回报错信息

SNAT

一般用于nat表的POSTROUTING链,进行源地址转换

DNAT

一般用于nat表的PREROUTING链,进行目的地址转换

MASQUERADE

动态源地址转换,动态IP时使用

 

模块

描述

state

包状态,有四个:NEW、RELATED、ESTABLISHED和INVALID

mac

源MAC地址

limit

包速率限制

multiport

多端口,以逗号分隔

iprange

端口范围,以逗号分隔

示例:常用的规则配置方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
iptables -F          # 清空表规则,默认filter表
iptables -t nat -F      # 清空nat表
iptables -A INPUT -p tcp --dport 22 -j ACCEPT     # 允许TCP的22端口访问
iptables -I INPUT -p udp --dport 53 -j ACCEPT     # 允许UDP的53端口访问,插入在第一条
iptables -A INPUT -p tcp --dport 22:25 -j ACCEPT  # 允许端口范围访问
iptables -D INPUT -p tcp --dport 22:25 -j ACCEPT  # 删除这条规则
# 允许多个TCP端口访问
iptables -A INPUT -p tcp -m multiport --dports 22,80,8080 -j ACCEPT  
iptables -A INPUT -s 192.168.1.0 /24  -j ACCEPT    # 允许192.168.1.0段IP访问
iptables -A INPUT -s 192.168.1.10 -j DROP        # 对1.10数据包丢弃
iptables -A INPUT -i eth0 -p icmp -j DROP        # eth0网卡ICMP数据包丢弃,也就是禁ping
# 允许来自lo接口,如果没有这条规则,将不能通过127.0.0.1访问本地服务
iptables -A INPUT -i lo -j ACCEPT   
# 限制并发连接数,超过30个拒绝    
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j REJECT   
# 限制每个IP每秒并发连接数最大3个
iptables -I INPUT -p tcp --syn -m limit --limit 1 /s  --limit-burst 3 -j ACCEPT           
iptables -A FORWARD -p tcp --syn -m limit --limit 1 /s  -j ACCEPT
# iptables服务器作为网关时,内网访问公网
iptables –t nat -A POSTROUTING -s [内网IP或网段] -j SNAT --to [公网IP]      
# 访问iptables公网IP端口,转发到内网服务器端口          
iptables –t nat -A PREROUTING -d [对外IP] -p tcp --dport [对外端口] -j DNAT --to [内网IP:内网端口] 
# 本地80端口转发到本地8080端口  
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
# 允许已建立及该链接相关联的数据包通过            
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    
# ASDL拨号上网                
iptables -t nat -A POSTROUTING -s 192.168.1.0 /24  -o pppo -j MASQUERADE                   
iptables -P INPUT DROP   # 设置INPUT链缺省操作丢弃所有数据包,只要不符合规则的数据包都丢弃。注意要在最后设置,以免把自己关在外面!




本文转自 李振良OK 51CTO博客,原文链接:http://blog.51cto.com/lizhenliang/1906324,如需转载请自行联系原作者