java多线程    Java入门    vsftp    ftp    linux配置    centos    FRP教程    HBase    Html5缓存    webp    zabbix    分布式    neo4j图数据库    

iptables 使用手册简洁版

发表于 2016-12-13 13:03:47 by 月小升

1.查看iptables中已经设置好的规则
sudo iptabes -L -n
2.清除现有的规则
sudo iptables -F 清除预设表filter中所有规则链的规则
sudo iptabels -X 清除预设表filter中使用者自定链中的规则
3.设定预设规则
sudo iptables -P INPUT DROP //不在里面的不通过(drop)
sudo iptables -P OUTPUT ACCEPT //不在里面的通过(accept)
sudo iptables -P FORWARD DROP
注释:
在iptables里filter表里:
不在这两个链规则(INPUT,FORWARD)的数据包就DROP(放弃)。可以说这样的配置是很安全的。

而对于OUTPUT链,也就是流出的数据包我们不用做太多的限制,而是采取ACCEPT,也就是说,不在这
个规则里的数据包就通过。
4.添加规则
如果要远程SSH登录,开启22端口
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

如果做了WEB服务器,开启80端口
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果做邮件服务器,开启25,110端口
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
sudo iptables -A INPUT -P TCP --dport 25 -j ACCEPT

如果做了FTP服务器,开启21端口
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服务器,开启53端口
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT

如果允许icmp包通过,也就是ping
sudo iptables -A OUTPUT -p icmp -j ACCEPT(OUTPUT设置成DROP的话)
sudo iptables -A INPUT -p icmp -j ACCEPT(INPUT设置成DROP的话)

下面写OUTPUT链,默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链。
减少不安全的端口连接
sudo iptables -A OUTPUT -p tcp --sport 31337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 31337 -j DROP

5.设置只允许IP为192.168.1.117的机器进行SSH链接
sudo iptables -A INPUT -s 192.168.1.117 -p tcp --dport 22 -j ACCEPT

如果要允许,或限制一段IP地址可用 192.168.1.0/24 表示192.168.1.1-255所有IP但要把iptables里的这一行删了 -A INPUT -p tcp --dport 22 -j ACCEPT 它表示所有地址都可以登录
或采用命令方式:
sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT 重启之后无效

6. FORWARD链的默认规则是DROP
对正在转发链的监控
开启转发功能(在做NAT时,FORWARD默认规则是DROP ,必须的)

sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 

sudo iptables -A FORWARD -i eh1 -o eth0 -j ACCEPT

丢弃坏的TCP包
sudo iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

处理IP碎片数量,防止攻击,允许每秒100个
sudo iptables -A FORWARD -f -m limit --limit 100/s -- limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包。
sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

This entry was posted in Linux and tagged , , . Bookmark the permalink.
月小升QQ 2651044202, 技术交流QQ群 178491360
首发地址:月小升博客https://java-er.com/blog/iptables-how-to-use/
无特殊说明,文章均为月小升原创,欢迎转载,转载请注明本文地址,谢谢
您的评论是我写作的动力.

2 Responses to iptables 使用手册简洁版

  1. 凯哥自媒体 says:
    2016 年 12 月 16 日 at am 6:36

    这个不错额

  2. X隐者网赚博客 says:
    2016 年 12 月 16 日 at pm 12:41

    博主的空间哪里的,瞬间打开……

Leave a Reply to 凯哥自媒体 Cancel reply

近期文章

  1. php8 编译zip
  2. docker 快速操作笔记
  3. 软件概要设计和详细设计的区别
  4. Spring AOP理解
  5. Spring IOC的理解
  6. Java的双亲委派模型
  7. JVM中引用的分类
  8. 柔性事务是什么,分布式环境为何要放弃传统事务
  9. Spring循环依赖如何解决的
  10. 程序员如何赚钱,财富自由

标签

    Android Apache cookie frp FTP google HBase html5 iphone java java基础教程 java教程 jQuery linux Linux命令 mac mac软件 MongoDB mysql neo4j nginx nosql php php-fpm php函数 python redis shell SVN swift Ubuntu Windows wordpress wordpress插件 xcode zabbix 值得记忆 图片 多线程 密码 插件 数据库 日志 服务器 缓存

分类

  1. JAVA
  2. Linux
  3. MAC
  4. Perl
  5. PHP
  6. Python
  7. WEB前端
  8. Windows
  9. 互联网观察
  10. 吐槽
  11. 技术管理
  12. 数学与算法
  13. 数据库
  14. 日常随笔
  15. 月小升软件
  16. 电商运营
  17. 科技精品
  18. 程序视点
  19. 网络推广
  20. 运营
  21. 阅读笔记
  22. 高并发与大数据