zoukankan      html  css  js  c++  java
  • iptables一些经常忘掉易混淆的参数

    -A:新增加一条规则,该规则在原规则的最后面

    -p:规定应用于哪种数据包,例如:tcp,udp等

    -d:(destination),表示目标IP或网络

    -s:(source),表示源IP或网络

    -j:后面接动作,例如:ACCEPT,DROP,REJECT等

    -i:后面接网卡名,input的缩写,与INPUT链配合

    -o:后面接网卡名,output缩写,与output链配合

    -L:列出目前的table原则

    -n:不进行IP与HOSTNAME的反查

    -v:列出更多信息

    -F:清楚所有的已定制的规则

    -X:清楚所有用户"自定义"的chain或者tables

    -Z:将所有的chain的计数与流量统计都归零

    注意:

    在 -s 参数后面可以增加一个参数 -sport 端口范围(限制来源端口),如:1024:65535

    在-d 参数后面可以增加一个参数 -dport 端口范围(限制目标端口)

    需要特别注意,这两个参数重点在port上面,并且仅有TCP和UDP数据包具有端口,因此要想使用–dport,–sport时需要加上-p tcp或者 -p udp才会成功

    常用用法:

    来自192.168.100.10的就接受,来自192.168.100.11就抛弃

    iptables -A INPUT -i eth0 -s 192.168.100.10 -j ACCEPT

    iptables -A INPUT -i eth0 -s 192.168.100.11 -j DROP

    iptables -I INPUT -i eth0 -s 192.168.100.0/24 -j ACCEPT

    丢弃所有想要链接本机21端口的数据包

    iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

    禁止某个IP访问80端口

    iptables -A INPUT -s "IP" -p tcp --dport 80 -j DROP

    只要来自192.168.1.0/24的1024:65535端口的数据包,且想要连接的本机的ssh port就阻挡

    iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65535 --dport ssh -j DROP

    开启常用端口

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT

    操作命令

    保存防火墙配置

    /etc/init.d/iptables save

    开机自启动防火墙

    chkconfig iptables on

    查看运行状态

    /etc/init.d/iptables status

    未完待续

     

  • 相关阅读:
    【LOJ #2290】「THUWC 2017」随机二分图(状压DP)
    【LOJ #2136】「ZJOI2015」地震后的幻想乡(状压DP)
    【CSP-S 2019模拟】题解
    异步编程补漏
    Git(七) 查漏补缺
    ES6(二) let const
    ES6(一) 数组
    JS判断对象是否存在
    Git(六)
    Git(五)
  • 原文地址:https://www.cnblogs.com/uglyliu/p/6057770.html
Copyright © 2011-2022 走看看