iptables 知识-filter表

iptables 免费的基于包过滤的

类似交换机acl

iptables 表和链个分类

4个表

filter 和主机有关负责防火墙功能过滤本机流入流出的数据包是iptables默认的表

INPUT FORWORD OUTPUT

INPUT

过滤所有目标是本机的数据包

过滤进入主机的数据包

FORWORD

转发流经主机但不进入主机的数据包

OUTPUT

处理源地址是本机的数据包

处理从主机发出去的数据包

nat 和主机无关是网络地址转换

OUTPUT PREROUTING POSTROUTING

OUTPUT

PREROUTING

在数据包刚到防火墙，进行路由判断之前的规则，改变包的目的地址

改变访问的地址改变访问的端口

外部IP地址及端口的服务，映射为内部IP地址及端口

POSTROUTING

在数据包离开防火墙时进行路由判断之后执行的规则改变包的源地址

局域网共享上网，把所有局域网的地址，转换为公网地址上网

mangle 修改数据包中特殊的路由标记 TTL TOS MARK 很少用

INPUT FORWORD OUTPUT PREROUTING POSTROUTING

INPUT

FORWORD

OUTPUT

PREROUTING

POSTROUTING

raw 基本不用

查看

iptables -L -n

iptables -L -n -x -v

iptables -L -n --line-numbers

清除默认规则

临时

iptables -F

iptables -Z

iptables -X

保存

service iptables save

添加 filter 规则

禁止ssh

iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

禁止ping

iptables -t filter -I INPUT -p -icmp --icmp-type 8 -i eth0 -s ！192.168.1.123 -j DROP

禁止网段访问

iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -j DROP

禁止非网段的访问

iptables -t filter -A INPUT -i eht0 -s ! 192.168.1.0/24 -j DROP

删除 filter 规则

iptables -D INPUT -p tcp --dport 22 -j DROP

iptables -D INPUT 1

！ #非

-p ！ tcp

-s ！ 192.168.1.0/24

-i ！ eth0

--dport ！22

--sport ! 22

-t filter

-t nat #选择表

-t mangle

-t raw

-A #添加到最后

-A INPUT #添加INPUT

-A OUTPUT #添加OUTPUT

-A FORWORD #添加FORWORD

-A PREROUTING #添加PREROUTING

-A POSTROUTING #添加POSTROUTING

-I #添加到第一条

-D #删除

-p tcp

-p udp #协议

-p imcp

-p all

数据进入的网络接口

-i eth0

数据流出的网络接口

-o eth1

源地址

-s

目的地址

-d

--dport 22 #目的端口号

--sport 22 #源端口号

--dport 22:80

-m multiport --dport 21,22,34,45,80

-j DROP # 丢弃

-j ACCEPT # 允许

-j REJECT # 拒绝

ftp 21 20

nfs 111 2049

rsync 873

snmp 161

ssh 22

http 80

nagios 5666

mysql 3306

oracle 1521

icmp icmp-type 8

配置iptables

iptables -F

iptables -Z

iptables -X

允许ssh

屏蔽22 DROP

换其他的

办公网IP IDC机房的的内网外网IP

配置允许lo接口的进入和流出无条件通过

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

设置默认的防火墙禁止和允许规则

#DROP FORWORD INPUT

#ACCEPT OUTPUT

iptables -p FORWORD DROP

iptables -p INPUT DROP

iptables -p OUTPUT ACCEPT

设置信任的IP网段

#IDC LAN 办公网IP

iptables -A INPUT -s 142.142.62.65/27 -p all -j ACCEPT #办公网

iptables -A INPUT -s 142.142.62.65/27 -p all -j ACCEPT #IDC局域网网

iptables -A INPUT -s 142.142.62.65/27 -p all -j ACCEPT #vpn的

允许http服务无条件通过

iptables -A INPUT -p tcp --dport 80 - j ACCETP

允许icmp的ping （可以不做，信任网段已经可以ping）

iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

允许关联的状态包通过

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存

service iptablessava

以后在添加就可以直接编辑文件

vim /etc/sysconfig/iptables

ddos攻击的防范

直接在命令行执行

iptables -t filter -I INPUT -s 101.234.123.22 -j DROP

时间： 2024-08-08 12:47:13

iptables 知识-filter表的相关文章

iptables里filter表前面几个数字的意思

一般的linux系统iptables配置文件filter表前面都带下面三行,但是具体是什么意思呢! *filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0] INPUT:是链名 ACCEPT:是这个链的默认动作第一个0:匹配默认动作的包的个数第二个0:匹配默认动作的包的总字节数 [0:0]像这样,中括号内都是0,表示没有限制包的个数和总字节数,匹配的动作可以无限制的流入流出.

iptables的filter表的几个关键行

做个备忘, *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

10.15 iptables filter表小案例;10.16—10.18 iptables nat

扩展: 1. iptables应用在一个网段: http://www.aminglinux.com/bbs/thread-177-1-1.html 2. sant,dnat,masquerade: http://www.aminglinux.com/bbs/thread-7255-1-1.html 3. iptables限制syn速率: http://www.aminglinux.com/bbs/thread-985-1-1.html 10.15 iptables filter表小案例 ipta

十（4）iptables语法、iptables filter表小案例、iptables nat表应用

iptables语法 filter表: INPUT链:作用于进入本机的包 OUTPUT链:作用于送出本机的包 FORWARD链:作用于和本机无关的包 nat表: PREROUTING链:作用是包在刚刚到达防火墙时改变包的目标地址 OUTPUT链:改变本地产生的包的目标地址 POSTROUTING链:作用是在包将离开防火墙时改变包源地址 1.查看iptables规则 iptables -nvL (此时默认查看filter表,

10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用

10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用扩展 iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html iptables限制syn速率 http://www.aminglinux.com/bbs/thre

iptables filter表案例及iptables nat应用

iptables filter表案例 iptables小案例需求只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.1.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口. 由于这个需求有多条规则,所以最好写成脚本的形式,操作示例如下: # vi /usr/local/sbin/iptables.sh 加入如下内容,保存退出. 脚本内容: ipt="/usr/sbin/iptables" $i

10.15 iptables filter表案例 10.16/10.17/10.18 iptable

七周四次课 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用打开端口转发, 调整内核参数增加一条规则所添加的规则 B机器设置默认网关设置公共DNS C设备与A通信,通过端口转换的形式,将原有iptables清空上面为进来的包进行转换,下面为出去的包进行转换原文地址:http://blog.51cto.

iptables filter表

10.15 iptables filter表小案例 iptables扩展选项(了解) 其实匹配扩展中,还有需要加-m引用模块的显示扩展,默认是隐含扩展,不要使用-m. 状态检测的包过滤: -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态 -m multiport 指定多端口号--sport--dport--ports -m iprange 指定IP段--src-range ip-ip--dst-range ip-ip -m

10.15-10.18 iptables filter表案例 iptables nat表应用

七周四次课(3月22日) 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用扩展1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html3. iptables限制syn速率 http://www.