背景#
在攻防演練期間,有一台設備連不上主控端,iptables -L INPUT --line -number查看 INPUT 和 OUTPUT 有異常並且都刪除,依舊連不上主控端,最後確認是在 raw 表中有策略。
四表五鏈#
Linux 防火牆(iptables)使用四表五鏈(Four Tables, Five Chains)的結構來管理和控制網絡流量。這個結構是 iptables 的核心組成部分,用於配置防火牆規則和過濾網絡數據包。
以下是四表五鏈的概述:
四個表(Four Tables):
- filter 表:用於過濾網絡數據包,根據規則決定是否允許或拒絕數據包通過防火牆。
- nat 表:用於網絡地址轉換(Network Address Translation,NAT),主要用於實現端口轉發和 IP 地址轉換等功能。
- mangle 表:用於對數據包的頭部進行修改,如修改 TTL(Time to Live)值和設置數據包標記等。
- raw 表:提供原始數據包的處理,通常用於配置連接跟踪(Connection Tracking)和處理特定類型的數據包。
五個鏈(Five Chains):
- INPUT 鏈:用於處理進入本地系統的數據包,例如接收到的網絡請求。
- OUTPUT 鏈:用於處理從本地系統發送出去的數據包,例如本地系統發起的網絡請求。
- FORWARD 鏈:用於處理通過本地系統轉發的數據包,例如作為路由器轉發的數據包。
- PREROUTING 鏈:用於在數據包到達本地系統的網絡協議棧之前進行處理,通常用於網絡地址轉換(NAT)。
- POSTROUTING 鏈:用於在數據包離開本地系統的網絡協議棧之後進行處理,通常用於網絡地址轉換(NAT)。
刪除單獨 raw 表#
要刪除 Linux 防火牆中的 raw 表,您可以使用 iptables 命令的-t選項指定表的名稱為 "raw",並使用-F選項清空該表中的所有規則,然後使用-X選項刪除該表。
以下是刪除 raw 表的命令示例:
iptables -t raw -F
iptables -t raw -X
請注意,執行這些命令需要管理員或 root 權限。在刪除表之前,請確保您理解並確認其影響,以免意外刪除了重要的規則。建議在執行任何防火牆配置更改之前備份您的規則,並在一個安全的環境中進行測試。
刪除單獨 raw 表規則#
要刪除 raw 表中的單個規則,您可以使用 iptables 命令的-t選項指定表的名稱為 "raw",並使用-D選項指定要刪除的規則的位置或規則規範。
以下是刪除 raw 表中單個規則的命令示例:
iptables -t raw -D <chain> <rule_specification>
請將<chain>替換為 raw 表中的鏈(例如 PREROUTING、OUTPUT 等),將<rule_specification>替換為要刪除的規則的具體位置或規則規範。
例如,如果要刪除 PREROUTING 鏈中的第 3 條規則,您可以執行以下命令:
iptables -t raw -D PREROUTING 3
如果您知道要刪除規則的規則規範,可以將其替換為<rule_specification>。例如,如果要刪除源 IP 地址為 10.0.0.1 的規則,可以執行以下命令:
iptables -t raw -D PREROUTING -s 10.0.0.1 -j <target>