zoukankan      html  css  js  c++  java

  • LINUX iptables

    iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。

    filter负责过滤数据包,包括的规则链有,input,output和forward;

    nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;

    mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING;

    input匹配目的IP是本机的数据包,forward匹配流经本机的数据包,prerouting用来修改目的地址用来做DNAT,postrouting用来修改源地址用来做SNAT。

    iptables主要参数

    -A 向规则链中添加一条规则,默认被添加到末尾

-T 指定要操作的表,默认是filter

-D 从规则链中删除规则,可以指定序号或者匹配的规则来删除

-R 进行规则替换

-I 插入一条规则,默认被插入到首部

-F 清空所选的链,重启后恢复

-N 新建用户自定义的规则链

-X 删除用户自定义的规则链

-p 用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,

-s 指定源地址

-d 指定目的地址

-i 进入接口

-o 流出接口

-j 采取的动作,accept,drop,snat,dnat,masquerade

--sport 源端口

--dport 目的端口,端口必须和协议一起来配合使用

    注意:所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写

    iptables规则的写法:

    iptables定义规则的方式比较复杂:

格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table :一共3个:filter、nat、mangle

COMMAND:定义如何对规则进行管理

chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的

CRETIRIA:指定匹配标准

-j ACTION :指定如何进行处理



比如:不允许172.16.0.0/24的进行访问。

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

当然你如果想拒绝的更彻底:

iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v#查看定义规则的详细信息

    下面是一些例子:

    开放指定端口

    #允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#如果有其他端口的话,规则也类似,稍微修改上述语句就行

#允许ping

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT  (注意:如果22端口未加入允许规则,SSH链接会直接断开。)

iptables -A FORWARD -j REJECT

    屏蔽IP

    #如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

    查询防火墙状态:

    service iptables status

    停止防火墙:

    service iptables stop

    启动防火墙:

    service iptables start

    重启防火墙:

    service iptables restart

    永久关闭防火墙:

    chkconfig iptables off

    永久关闭防火墙后启用:

    chkconfig iptables on
  • 相关阅读:
    54.Spiral Matrix
    53.Maximum Subarray
    基础数据类型包装类
    sqlacodegen逆向数据库
    第四章、常用模块
    第三章、函数编程
    第一章
    第一章 Python基础
    Centos7.0升级python 2.x到3.x
    time
  • 原文地址:https://www.cnblogs.com/blueskycc/p/5509433.html
Copyright © 2011-2022 走看看