iptables策略

方法1:

iptables -P INPUT ACCEPT

iptables -A INPUT -i em2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i em2 -s 168.235.21.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i em2 -s 104.193.9.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i em2 -s 103.242.18.0/22 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i em2 -s 202.55.1.18 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i em2 -s 168.235.51.0/24 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i em2 -s 104.193.5.0/24 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i em2 -s 103.242.08.0/22 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i em2 -s 202.55.4.18 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i em2 -s 168.235.51.0/24 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i em2 -s 104.193.5.0/24 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i em2 -s 103.242.08.0/22 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i em2 -s 202.55.4.18 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i em2 -p icmp -m icmp --icmp-type 8 -j DROP

iptables -A INPUT -i em2 -p tcp --dport 22 -j DROP

iptables -A INPUT -i em2 -p tcp --dport 80 -j DROP

iptables -A INPUT -i em2 -p tcp --dport 443 -j DROP

iptables -A OUTPUT -o em2 -p udp --sport 111 -j DROP

方法2：

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT (10到21端口允许)

iptables -I INPUT -p tcp --dport 22 -j ACCEPT

以上是允许

iptables -A INPUT -j REJECT (匹配丢弃)

iptables -I INPUT -i lo -j ACCEPT

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

视频上说，用了上面的命令，要加以下2条才能在本机打开22跟外面访问80，我没加感觉也行

iptables -nvL --line-numbers 查看规则带有id号

iptables -D INPUT 1 根据规则的id号删除对应规则

iptables 针对一个网段

iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP

iptables 防CC

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

(包设置100个，超过100个拒绝)

iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT

iptables -A INPUT -p icmp -j DROP

上面那句的意思是满足后面的条件，ping 10次以后，一分钟允许一个包通过

nat表应用：

/sbin/iptables -t nat -I PREROUTING -d 23.27.6.15 -j DNAT --to-destination 45.61.255.17610

/sbin/iptables -t nat -I POSTROUTING -d 45.61.255.176 -j SNAT --to-source 23.27.6.15

/sbin/iptables -t nat -I POSTROUTING -s 45.61.255.176 -j SNAT --to-source 23.27.6.15

路由器就是使用iptables的nat原理实现

假设您的机器上有两块网卡eth0和eth1，其中eth0的IP为192.168.10.11，eth1的IP为172.16.10.11 。eth0连接了intnet 但eth1没有连接，现在有另一台机器(172.16.10.12)和eth1是互通的，那么如何设置也能够让连接eth1的这台机器能够连接intnet?

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE

iptables -I FORWARD -p udp --dport 53 -m string --string "TAOBAO" -m time --timestart 8:15 --timestop 12:00 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

时间： 2024-10-29 19:12:23

iptables策略的相关文章

linux防火墙iptables策略

iptables防火墙 1.实现防火墙功能需要软件来调用内核中的netfilter模块2.linux.2.6的内核中使用的软件是iptables iptables实现的功能有过滤,地址转换. 1.iptables中对于同一服务的不同规则的匹配顺序是至上往下,一旦匹配到规则则不再往下匹配,若都没有匹配上,则匹配默认规则.2.iptables中有3张表和5条链路.其中filter用于过滤,其链有INPUT,OUTPUT,FORWARD.其中nat表用于地址转换,对应的链路是 POSTROUTIN

vps服务器常用服务iptables策略

vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一.linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉. 目前这台vps上开启的服务有ssh,ftp,pptpd,shadowsocks等. 防火墙策略是默认策略是DROP的. 防火墙策略配置: [[email protected] scripts]# cat iptables.sh #/bin/bash #date:2017-

25个最常用的iptables策略

1.清空存在的策略当你开始创建新的策略,你可能想清除所有的默认策略,和存在的策略,可以这么做:iptables -F 或者iptables --flush2,设置默认策略默认链策略是ACCEPT,改变所有的链策略为DROP:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP3,阻止一个指定的ipBLOCK_THIS_IP=“x.x.x.x"iptables -A INPUT -s ”$BLOCK_THIS_

企业防火墙-iptables策略

阅读目录 1.1 企业中安全优化配置原则 1.2 iptables防火墙简介 1.3 iptables 表和链 1.4 iptables工作流程 1.5 iptables操作 1.6 iptables filter表配置实例 1.7 iptables nat表配置实例 1.8 自定义链的配置 1.9 附录-防火墙状态机制 1.1 企业中安全优化配置原则尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务. 大并发的情况,不能开ip

防简单攻击iptables策略

#!/bin/sh IPTABLES=/sbin/iptables # clear $IPTABLES -F # if pkg type is allow, then accept #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 如果同时在80端口的连接数大于10,就Drop掉这个ip netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq

iptables初探

一,前言本来想起个名字叫做"小白都是怎么学习iptables的?"或者"你为什么还不了解iptables?"等等,就像简书上的头条文章,虽然被说成"标题党"也是名副其实,但是的确能吸引别人去阅读,提升阅读量(那些大V也确实是这么干的).不过转念一想,我这小白所写的文章,稚不成书,还是少些人看的好:)...故改名iptables初探.意在记录自己学习iptables的过程,轻喷! 首先,iptables是防火强的一种,防火墙分为三大类:包过滤.代

Linux学习笔记——iptables浅析

最近总结一些知识点越发吃力了,看来还是知识储备不足,用的不熟啊,还是硬着头皮来吧,争取多写点,毕竟好记性不如烂笔头不是么. 防火墙,就是用于实现Linux下访问控制的功能,它分为硬件的或者软件的防火墙两种.对于TCP/IP的模型来讲,第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测.但是对于七层的防火墙,不管你源端口或者目标端口,源地址或者目标地址是什么,都将对你所有的东西进行检查.所以,对于设计原理来讲,七层防火墙更加安全,但是这却带来了效率更低.市面上通常的防火墙方案,都是两者

【Firewalld(Iptables)】

**************************************** *************Firewalld(iptables)******** **************************************** 一,firewalld(动态防火墙后台程序) 1.(重点)相比iptables,firewalld更加只能化,用以支持网络"zones",以及分配对一个网络及其相关连接和

Linux下针对路由功能配置iptables的方法详解

作为公司上网的路由器需要实现的功能有nat地址转换.dhcp.dns缓存.流量控制.应用程序控制,nat地址转换通过iptables可以直接实现,dhcp服务需要安装dhcpd,dns缓存功能需要使用bind,流量控制可以使用tc,应用程序控制:例如对qq的封锁可以使用 netfilter-layer7-v2.22+17-protocols-2009-05-28.tar.gz来实现 1.网络规划操作系统是centos5.8 2.安装dhcpd yum install dhcp-3.0.5-3