iptables 使用手册简洁版


1.查看iptables中已经设置好的规则
sudo iptabes -L -n
2.清除现有的规则
sudo iptables -F 清除预设表filter中所有规则链的规则
sudo iptabels -X 清除预设表filter中使用者自定链中的规则
3.设定预设规则
sudo iptables -P INPUT DROP //不在里面的不通过(drop)
sudo iptables -P OUTPUT ACCEPT //不在里面的通过(accept)
sudo iptables -P FORWARD DROP
注释:
在iptables里filter表里:
不在这两个链规则(INPUT,FORWARD)的数据包就DROP(放弃)。可以说这样的配置是很安全的。
 
而对于OUTPUT链,也就是流出的数据包我们不用做太多的限制,而是采取ACCEPT,也就是说,不在这
个规则里的数据包就通过。
4.添加规则
如果要远程SSH登录,开启22端口
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
如果做了WEB服务器,开启80端口
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 
如果做邮件服务器,开启25110端口
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
sudo iptables -A INPUT -P TCP --dport 25 -j ACCEPT
 
如果做了FTP服务器,开启21端口
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
 
如果做了DNS服务器,开启53端口
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 
如果允许icmp包通过,也就是ping
sudo iptables -A OUTPUT -p icmp -j ACCEPT(OUTPUT设置成DROP的话)
sudo iptables -A INPUT -p icmp -j ACCEPT(INPUT设置成DROP的话)
 
下面写OUTPUT链,默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链。
减少不安全的端口连接
sudo iptables -A OUTPUT -p tcp --sport 31337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 31337 -j DROP
 
5.设置只允许IP为192.168.1.117的机器进行SSH链接
sudo iptables -A INPUT -s 192.168.1.117 -p tcp --dport 22 -j ACCEPT
 
如果要允许,或限制一段IP地址可用 192.168.1.0/24 表示192.168.1.1-255所有IP但要把iptables里的这一行删了 -A INPUT -p tcp --dport 22 -j ACCEPT 它表示所有地址都可以登录
或采用命令方式:
sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT 重启之后无效
 
6. FORWARD链的默认规则是DROP
对正在转发链的监控
开启转发功能(在做NAT时,FORWARD默认规则是DROP ,必须的)
 
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
 
sudo iptables -A FORWARD -i eh1 -o eth0 -j ACCEPT
 
丢弃坏的TCP包
sudo iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
 
处理IP碎片数量,防止攻击,允许每秒100个
sudo iptables -A FORWARD -f -m limit --limit 100/s -- limit-burst 100 -j ACCEPT
 
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包。
sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
如果你是一名技术人员可加我QQ 2651-0442-02,如果你是java技术人还可以加入QQ群 1784-9136-0
你将得到的不仅仅是技术的交流,还有职业机会,人生解惑.
首发地址:月小升博客http://java-er.com/blog/iptables-how-to-use/
无特殊说明,文章均为月小升原创,欢迎转载,转载请注明本文地址,谢谢
此条目发表在 Linux 分类目录,贴了 , , 标签。将固定链接加入收藏夹。
既然来了,就评论一下,不会怀孕的

iptables 使用手册简洁版》有 2 条评论

  1. 博主的空间哪里的,瞬间打开……

凯哥自媒体 进行回复 取消回复

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" highlight="">