Linux : IPTABLES

防火墙规则input,forward,output

1.input 用于处理进入路由器的数据包,即数据包目标IP地址是到达路由器一个接口的IP地址,经过路由器的数据包不会在input-chains处理。

2.forward 用于处理通过路由器的数据包

3.output 用于处理源于路由器并从其中一个接口出去的数据包

1、安装iptables防火墙

如果没有安装iptables需要先安装,CentOS执行: 
yum install iptables 
Debian/Ubuntu执行: 
apt-get install iptables

2、清除已有iptables规则

iptables -F 
iptables -X 
iptables -Z

3、开放指定的端口

#允许本地回环接口(即运行本机访问本机) 
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 
# 允许已建立的或相关连的通行 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#允许所有本机向外的访问 
iptables -A OUTPUT -j ACCEPT 
# 允许访问22端口 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
#允许访问80端口 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
#允许FTP服务的21和20端口 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
iptables -A INPUT -p tcp --dport 20 -j ACCEPT 
#如果有其他端口的话,规则也类似,稍微修改上述语句就行 
#禁止其他未允许的规则访问 
iptables -A INPUT -j REJECT (注意:如果22端口未加入允许规则,SSH链接会直接断开。) 
iptables -A FORWARD -j REJECT

4、屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。 
#屏蔽单个IP的命令是 
iptables -I INPUT -s 123.45.6.7 -j DROP 
#封整个段即从123.0.0.1到123.255.255.254的命令 
iptables -I INPUT -s 123.0.0.0/8 -j DROP 
#封IP段即从123.45.0.1到123.45.255.254的命令 
iptables -I INPUT -s 124.45.0.0/16 -j DROP 
#封IP段即从123.45.6.1到123.45.6.254的命令是 
iptables -I INPUT -s 123.45.6.0/24 -j DROP

4、查看已添加的iptables规则

iptables -L -n

v:显示详细信息,包括每条规则的匹配包数量和匹配字节数 
x:在 v 的基础上,禁止自动单位换算(K、M)  
n:只显示IP地址和端口号,不将ip解析为域名

5、删除已添加的iptables规则

将所有iptables以序号标记显示,执行: 
iptables -L -n --line-numbers 
比如要删除INPUT里序号为8的规则,执行: 
iptables -D INPUT 8

6、iptables的开机启动及规则保存

CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下: 
chkconfig --level 345 iptables on 
将其加入开机启动。 
CentOS上可以执行:service iptables save保存规则。 
另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。 
需要按如下步骤进行,让网卡关闭是保存iptables规则,启动时加载iptables规则: 
创建/etc/network/if-post-down.d/iptables 文件,添加如下内容: 
#!/bin/bash 
iptables-save > /etc/iptables.rules 
执行:chmod  x /etc/network/if-post-down.d/iptables 添加执行权限。 
创建/etc/network/if-pre-up.d/iptables 文件,添加如下内容: 
#!/bin/bash 
iptables-restore < /etc/iptables.rules 
执行:chmod  x /etc/network/if-pre-up.d/iptables 添加执行权限。 
关于更多的iptables的使用方法可以执行:iptables --help或网上搜索一下iptables参数的说明。

开始前,最好把现有的规则保存一份
 iptables-save > ipt.rule
然后iptables -F 清空规则 免得影响我们实验
1、本机ping通外网,外网ping不通本机iptables -I INPUT -p icmp --icmp-type 8 -j DROP 
DROP比较暴力,插入上面的规则后,用Windows去ping我们的实验机器,直接显示“请求超时”
如果我们用 iptables -I INPUT -p icmp --icmp-type 8 -j REJECT  (REJECT拒绝数据包通过,必要的时候会给发送端一个回应信息,比方说抓了对方的人,给对方带句话,人是我们抓的。)
如果用REJECT的话。ping 的回显是如下所示,无法连到端口
来自 192.168.0.185 的回复: 无法连到端口。

2、只允许指定的ip通过SSH登录到本机
iptables -A INPUT -p tcp --dport 22 -s ! 192.168.9.2 -j DROP
上面的规则是能实现只允许192.168.9.2通过SSH 登录到本机,但有如下的警告
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
本人英语一级的水平 不知道什么意思,估计是个温馨提示什么的。
这里要注意,虚拟机用NAT模式的话,从真机进入虚拟机的源IP,应该是VMnet8的IP地址。

3、双网卡实现连通两个不同的网段,假设eth0连接192.168.0.0,eth1连接10.0.0.0,规则如下
iptables -A FORWARD -i eth0 -o eth1  -j ACCEPT

4、开放一个端口段,有些变态的监控需要很多端口(记得数据包要有去有回才能通)
iptables -A INPUT -p tcp --dport 3000:3389 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3000:3389 -j ACCEPT

5、阻止本机使用FTP
iptables -A OUTPUT -p tcp --dport 21 -j DROP

6、阻塞发送到特定IP地址的流量
iptables -A OUTPUT -d 59.51.78.211 -j DROP
最后 iptables-restore < ipt.rule 恢复系统默认防火墙。

时间: 2024-12-25 17:11:10

Linux : IPTABLES的相关文章

linux iptables 实例1

柘扑图: shell脚本: 说明:内网可以正常上网,只能通过端口访问DMZ里的服务器 firewall服务器和DMZ里的器不能上网,但是可以指定访问外网某个IP 外网可以通过访问DNAT映射访问内网web和FTP服务器 指定某个IP进行管理iptables,不允许外网进行管理 服务器不能主动上外网 [[email protected] ~]# cat /opt/firewall.sh #!/bin/bash /sbin/modprobe nf_conntrack_ftp /sbin/modpro

Linux iptables:场景实战一

<Linux iptables:规则原理和基础>和<Linux iptables:规则组成>介绍了iptables的基础及iptables规则的组成,本篇通过实际操作进行iptables应用场景的实际演示. 防火墙设置策略 防火墙的设置策略一般分为两种,一种叫“通”策略,一种叫“堵”策略: 通策略,默认所有数据包是不允许通过的,对于允许的数据包定义规则. 堵策略则是,默认所有数据包是全部允许通过的,对于要拒绝的数据包定义规则. 一般来说服务器的防火墙设置都是采用第一种策略,安全性更

Linux iptables:规则组成

<Linux iptables:规则原理和基础>介绍了iptables的四表五链,简单说就是不同的网络层数据包会经过哪几个挂载点,在每个挂载点可以在哪张表进行规则定义. 本篇沿着这个思路,更具体的介绍一条iptables规则的组成. Linux iptables:规则组成 这是iptables一条规则的基本组成,也是iptables定义规则的命令格式: 第一列是iptables命令: 第二列指定规则所在的表,常用的是nat和filter表: 第三列是命令,常用命令如下: -A 在指定链的末尾添

linux iptables dnat

linux iptables 公网.网关做DNAT 192.168.18.230 <-------> 192.168.18.130  192.168.11.130 <-------> 192.168.11.131 iptables -t nat -A PREROUTING -p tcp -d 192.168.18.130 --dport 2222 -j DNAT --to 192.168.11.131:22 iptables -t nat -A POSTROUTING -s 192

单服务器防护linux iptables脚本

#!/bin/bashiptables -Fiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD DROP/sbin/iptables -A INPUT -i eth1 -m multiport -p tcp --dport 5060,6060,5070,1720,3720,1719,2719,3719,1202,80 -j ACCEPT/sbin/iptables -A INPUT -i eth1 -m multi

linux iptables添加mysql访问

用一个shell脚本添加一个IP的mysql 3306端口到防火墙白名单 #!/bin/bash chkconfig --level 235 iptables on iptables -F iptables -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -p tcp --dport 3306 -j ACCEPT linux iptables添加mysql访问

Linux iptables 端口映射

Linux iptables 端口映射服务器 A 网口em1:11.1.1.251em3:192.168.1.11111.1.1.8 内网数据库192.168.1.*网段需要通过服务器 A 做端口映射访问内网 11.1.1.8 数据库1.首先应该做的是/etc/sysctl.conf 配置文件的 net.ipv4.ip_forward = 1默认是 0.执行:[root@WS  ~]#sysctl -p这样允许 iptalbes FORWARD.2.在/etc/rc.d/init.d 目录下有

Linux iptables防火墙添加删除端口

一.  Linux 防火墙的启动和关闭1.1 启动命令[[email protected] ~]# service iptables stopFlushing firewall rules:                                   [  OK  ]Setting chains to policy ACCEPT: filter nat                [  OK  ]Unloading iptables modules:                  

linux iptables常用命令之配置生产环境iptables及优化

在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令 第一步:清空当前的所有规则和计数 iptables -F #清空所有的防火墙规则 iptables -X #删除用户自定义的空链 iptables -Z #清空计数 第二步:配置允许ssh端口连接 iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport

Linux iptables 配置规则

Linux iptables 防火墙配置规则 前言:把网上我感觉不错iptables的访问规则都统一在这里,以后做参考. modprobe ipt_MASQUERADE modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F iptables -t nat -F iptables -X iptables -t nat -X ###########################INPUT键########################