下面的命令可以允许IP地址范围
#运行IP地址范围192.168.1.100 到192.168.1.200 访问80端口 # iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT #NAT示例 # iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25 |
17、建立连接并重启防火墙
当重启iptables服务时,它会断开所有已建立的连接。这是因为在重启防火墙时,会卸载IPTABLES_MODULES_UNLOAD模块。
要解决这个问题,可以编辑/etc/sysconfig/iptables-config
IPTABLES_MODULES_UNLOAD = no |
18、使用Crit日志级别
# iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit |
19、屏蔽或开启常见端口
屏蔽或开启常用的TCP、UDP端口:
- #可以使用DROP替换ACCEPT,实现端口屏蔽。
- #打开22端口(SSH)
- # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
- #打开TCP/UDP631端口(打印服务)
- # iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
- # iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
- # 打开123端口,允许局域网用户进行NTP时间同步
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT
- #打开25端口(SMTP)
- # iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
- # 打开DNS端口
- # iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
- # iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
- #打开http/https端口
- # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
- # iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
- #打开TCP110端口(POP3)
- # iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
- #打开TCP143端口
- # iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
- #为局域网用户开启Samba访问
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
- #为局域网用户开启代理服务器访问
- # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
- #为局域网用户开启MySQL访问
- # iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
|