tcpdump 和 iptables

tcpdump基础用法

tcpdump   -i ens33 -tnn dst port 80 -c 1000#对ens33网卡 的80 端口进行抓包，只抓访问报文，且抓满1000个就停下，-tnn t是tcp的意思可换成u只抓udp或者两个tu两个都抓，nn的意思是显示端口，不加nn 80会被解析成http#dst 数据流向  发送地址>接收地址:80 只有这个流向才会抓取，src 刚好相反 发送地址:80>接收地址 才会抓取tcpdump -i ens33 host 192.168.0.13 and -tnn dst port 80 -c 1000#对ens33 的80 端口进行抓包同时过滤吊其他报文只抓192.168.0.13

#如图， 加了dst 只抓访问报文，不加访问报文和回包一起抓，如果只想看回包的话加上src。同时抓两个端口tcpdump -i ens33 host  192.168.0.13 and -tnn dst  port 80 or 22 -c 1000#对192.168.0.13 的 80和22端口同时抓tcpdump -i ens33 host  192.168.0.13 and -nn 'icmp'#对192.168.0.13 对icmp报文，抓包，自己ping自己抓不到防火墙拒绝了80端口，再抓包

#图中可以看到，能收到访问报文，但是服务器拒绝了80端口，就没有回包了

tcpdump -i ens33 dst 192.168.0.13 and src 192.168.0.70 and -tunn port 80 -c 1000
#抓源地址为192.168.0.70 目标地址为192.168.0.13 的 80端口报文

iptables基本

iptables -A INPUT -p tcp --dport 80 -j ACCEPT#表示从input 方向插入一条 允许80端口的规则iptables -nL #查看规则，n显示端口，不加80显示成http，可以加INPUT OUTPUT只查看入口或者出口方向

iptables -D INPUT 1 #删除INPUT表里的 第一条规则

iptables -A INPUT -s 192.168.0.70  -p icmp -j DROP#拒绝 源地址为192.168.0.70的 icmp 报文，不加 -s 就是拒绝所有iptables -I INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT#在最前面添加一条规则，意思是放行服务器ping别人的回包 0表示回包 8是去；这两条要组合起来才能达到服务器能ping 别人，别人不能ping 服务器，而且第二条必须要在第一条的上面。iptables -A INPUT -s 192.168.0.14 -j DROP#拒绝源地址为 192.168.0.14 的所有连接I 加在第一行  A加在最后一行  -p 协议 有tcp udp icmp  -s 原地址 -d目标地址-j 动作 ACCEPT DROP 放行 拒绝

iptables 匹配规则
iptables匹配上由上自下匹配的，匹配到了一个下面的规则就不会在匹配了

#这边匹配到第一条放行后，就不会在匹配第二条了，所以能ping通