iptables的基本使用方法

iptables使用方法

1.查看iptables

#详细查看iptalbes

[[email protected]~ ]# iptables -vnL

#查看iptables 并带序号

[[email protected]~ ]# iptables -vnL --line-number

#超详细查看iptables

[[email protected]~ ]# iptables -vvnL

2.iptables的基本使用方法

#添加

[[email protected] ~ ]# iptables -t filter -A INPUT -s 172.18.17.0/16 -d172.18.17.32 -p tcp --dport 22 -j ACCEPT

#在filter表中的INPUT链上添加:

源地址是172.18.17.0/16的随机端口，可以访问目标地址为172.18.17.32的tcp协议22号端口的记录

[[email protected]~ ]# iptables -t filter -A OUTPUT -s 172.18.17.32 -d 172.18.17.0/16 -p tcp --sport 22 -j ACCEPT

#在filter表中的OUPPUT链上添加:

源地址是172.18.17.32的tcp协议22号端口，可以访问目标地址172.18.17.0/16随机端口的记录

[[email protected]~ ]# iptables -t filter -A INPUT -d 172.18.17.32 -j REJECT

#在filter表中的INPUT链上添加:

源地址是所有的IP地址所有端口，不能访问目标地址为172.18.17.32的记录

-t : 指定表

-A : 添加，向后添加，指定添加的规则连

-s : 指定源地址

-d : 指定目的地址

-p : 指定协议

--dport : 指定端口

-j : 指定允许或者拒绝[ACCEPT]|[EROP]|[REJECT]

ACCEPT	允许访问
EROP	拒绝访问（不回复）
REJECT	拒绝访问（给予恢复）

#查看之前添加的iptables记录

[[email protected]~ ]# iptables -vnL --line-number

ChainINPUT (policy ACCEPT 7 packets, 697 bytes)

num pkts bytes target prot opt in out source destination

1 1621 118K ACCEPT tcp -- * * 172.18.0.0/16 172.18.17.32 tcp dpt:22

2 0 0 REJECT all -- * * 0.0.0.0/0 172.18.17.32 reject-with icmp-port-unreachable

ChainFORWARD (policy ACCEPT 0 packets, 0 bytes)

num pkts bytes target prot opt in out source destination

ChainOUTPUT (policy ACCEPT 0 packets, 0 bytes)

num pkts bytes target prot opt in out source destination

1 576 67656 ACCEPT tcp -- * * 172.18.17.32 172.18.0.0/16 tcp spt:22

结果：172.18.17.32的主机除了22号端口只能是172.18.0.0/16段的IP能访问，其他所有的IP地址，都不能访问172.18.17.32，包括所有的端口号

测试:使用172.18.17.11访问172.18.17.32的ssh端口

[[email protected]~ ]# ssh 172.18.17.32

[email protected]‘spassword:

Lastlogin: Thu Apr 27 22:15:59 2017 from 172.18.17.100

[[email protected]~ ]#

测试成功

#插入

[[email protected]~ ]# iptables -t filter -I INPUT 1 -s 172.18.17.11 -d 172.18.17.32 -p tcp--dport 22 -j REJECT

#在fileter表的INPUT链上插入为1编号的记录：

172.18.17.11的所有端口都不能访问172.18.17.32的22端口

#查看iptables

[[email protected]~ ]# iptables -vnL --line-number

ChainINPUT (policy ACCEPT 1 packets, 229 bytes)

num pkts bytes target prot opt in out source destination

1 22 2904 REJECT tcp -- * * 172.18.17.11 172.18.17.32 tcp dpt:22reject-with icmp-port-unreachable

测试:使用172.18.17.11和172.18.17.12分别登陆

172.18.17.11主机

[[email protected]~ ]# ssh 172.18.17.32

ssh:connect to host 172.18.17.32 port 22: Connection refused

登陆失败

172.18.17.12主机

[[email protected]~ ]# ssh 172.18.17.32

[email protected]‘spassword:

Lastlogin: Thu Apr 27 22:16:12 2017 from 172.18.17.11

[[email protected]~ ]#

登陆成功

测试成功

#删除

#删除INPUT链上的第一条记录

[[email protected]~ ]# iptables -D INPUT 1

#刚刚插入拒绝172.18.17.11访问ssh服务的记录已经被删除

[[email protected]~ ]# iptables -vnL --line-number

ChainINPUT (policy ACCEPT 1 packets, 136 bytes)

num pkts bytes target prot opt in out source destination

1 2175 164K ACCEPT tcp -- * * 172.18.0.0/16 172.18.17.32 tcp dpt:22

2 6 596 REJECT all -- * * 0.0.0.0/0 172.18.17.32 reject-withicmp-port-unreachable

测试:使用172.18.17.11登陆

172.18.17.11主机

[[email protected]~ ]# ssh 172.18.17.32

[email protected]‘spassword:

Lastlogin: Thu Apr 27 22:22:26 2017 from 172.18.17.12

[[email protected]~ ]#

登陆成功

时间： 2024-07-31 14:31:26

iptables的基本使用方法的相关文章

iptables 防DDOS攻击方法

syn flood攻击:SYN Flood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式(TCP协议的缺陷,所以没办法根除,除非重做TCP协议,目前不可能). CC攻击(Challenge Collapsar):CC是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡(被黑客黑的电脑)向受害主机不停地发大

2-10~2-11 配置iptables防火墙增强服务 selinux简单讲解

学习一个服务的过程: 1.此服务器的概述:名字,功能,特点,端口号 2.安装 3.配置文件的位置 4.服务启动关闭脚本,查看端口 5.此服务的使用方法 6.修改配置文件,实战举例 7.排错(从下到上,从内到外) ------------------------------------- iptables概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成. netfilter/iptables 关系: netfilt

neutron openvswitch agent实现安全组的方法

关于openstack安全组,采用一问一答的形式记录如下 1. 是加载在计算节点的还是网络节点的? 是加载在计算节点的 2. 是使用iptable规则实现的吗? M版的neutron实现了openvswitch 基于流表的防火墙之前常见的是用iptables实现的,一般会创建neutron-openvswi-XXX链 3. iptables实现的防火墙方法中,添加的规则都是accept,其余的包都是drop的吗? 是的添加的规则一般都在最后默认drop规则的前面return掉.安全组利用ipt

iptables rule

和H3C中的acl很像,或者就是一会事,这就是不知道底层的缺陷,形式一变,所有的积累都浮云了参考准确的说copy from http://www.ibm.com/developerworks/cn/linux/network/s-netip/,IBM伟大的公司,文章没有关于权限的琐碎声明,话说回来,别人可读,就有权利粘贴,只要目的不脏可以做什么:1,安全2,阻塞广告 1,网络中的位置 2,内核相关配置 CONFIG_PACKET : 如果要使应用程序和程序直接使用某些网络设备,那么这个选项是

iptables进行端口重定向

使用iptables进行端口重定向,方法如下: 在机器A上操作: #iptables -t nat -A PREROUTING -d 192.168.203.173 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.203.235#iptables -t nat -A POSTROUTING -d 192.168.203.235 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.16

防火墙和iptables

本文目录: 6.1 为什么需要防火墙 6.2 数据传输流程 6.2.1 网络数据传输过程 6.2.2 本机数据路由决策 6.3 TCP三次握手.四次挥手以及syn攻击 6.3.1 三次握手建立tcp连接 6.3.2 四次挥手端口tcp连接 6.3.3 syn flood攻击 6.4 各种文件分布 6.4.1 从链路层来判断是否处理 6.4.2 从网络层来判断是否处理 6.4.3 从传输层来判断是否处理 6.4.4 从应用层来判断是否处理 6.4.5 特殊的防火墙判断 6.4.6 数据包过滤 6.

iptables nat及端口映射

发布: 2010-6-11 15:05 | 作者: admin | 来源: SF NetWork 门户网站 iptables 应用初探(nat+三层访问控制) iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅. 首先要

STOP IPTABLES

为什么会有这个 wiki 页面? 在 Linux 中,iptables 是一个防火墙控制工具,但并不是一个“服务”. 真正内核中负责防火墙工作的是 Netfilter,iptables 仅仅是一个控制内核防火墙如何去工作的工具而已. Netfilter 分为两部分:规则.附加模块. 由于部分发行版的 /etc/init.d/iptables 脚本存在一定 BUG,在运行 service iptables stop 时只能停掉“规则”,而无法停掉“附加模块”. Netfilter 的 conntr

Iptables 网络安全

第1章 Iptables网络安全 1.1 Iptables防火墙介绍 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具 Netfilter一个系统的内核模块,通过netfilter内核控制硬件设备 Iptables相当于是一个控制软件 iptables+zebra+squid == 一台硬件防火墙 iptables主要工作在OSI七层的二.三.四层实现应用层访问控制:nginx WAF实现应用访问