[ZT]一些iptables的具体应用

最新推荐文章于 2016-02-04 10:56:00 发布
最新推荐文章于 2016-02-04 10:56:00 发布
阅读量281 收藏
点赞数
分类专栏: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawht/article/details/22683463
版权
来源:网络

ICMP相关应用

使自己不能ping 通 127.0.0.1

iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
192.168.0.0/24 网段无法ping能本机

iptables -A INPUT -s 192.168.0.0/24 -p icmp -j DROP

禁所有机器

# iptables -A INPUT -s 0/0 -p icmp -j DROP

# ICMP(PING) 接受 ! echo-request

/sbin/iptables -A INPUT -p icmp –icmp-type ! echo-request -j ACCEPT

accept_redirects

# echo “0″ > /proc/sys/net/ipv4/conf/all/accept_redirects

or

# sysctl net.ipv4.conf.all.accept_redirects=”0″

禁止IP访问自己

[root@linux root]# iptables -A INPUT -s 192.168.0.253 -j DROP

封杀MSN

/sbin/iptables -I FORWARD -d gateway.messenger.hotmail.com -j DROP

/sbin/iptables -I FORWARD -p tcp –dport 1863 -j DROP

封杀QQ

/sbin/iptables -A FORWARD -p tcp -d tcpconn.tencent.com –dport 80 -j DROP

/sbin/iptables -A FORWARD -p tcp -d tcpconn.tencent.com –dport 443 -j DROP

/sbin/iptables -A FORWARD -p tcp -d tcpconn2.tencent.com -j DROP

/sbin/iptables -A FORWARD -i eth0 -p udp –dport 8000 -j DROP

封杀BT

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 6881:6890 -j DROP

WWW

# 禁止>>WWW

/sbin/iptables -A FORWARD -p tcp –dport 80 -j DROP

# 开放>>WWW

/sbin/iptables -A FORWARD -p tcp –dport 80 -j ACCEPT

FTP

# 禁止FTP

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 20 -j DROP

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 21 -j DROP

# 开放FTP

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 20 -j ACCEPT

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 21 -j ACCEPT

SMTP,POP3

# 禁止SMTP,POP3

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 25 -j DROP

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 110 -j DROP

# 开入SMTP,POP3

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 25 -j ACCEPT

/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 110 -j ACCEPT

Samba

# 禁止Samba

[root@linux root]# iptables -A FORWARD -p tcp –sport 137:139 -j DROP

[root@linux root]# iptables -A FORWARD -p udp –sport 137:139 -j DROP

DROP

# DROP OTHERS

/sbin/iptables -A FORWARD -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A FORWARD -s 192.168.1.0/24 -j DROP

使用iptables -L -n命令查看当前防火墙的规则,结果类似下面这样,其中(policy ACCEPT)指的就是预设的策略
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables定义策略的语法:
iptables [-t tables] [-P] [INPUT, OUTPUT, FORWARD | PREROUTEING, OUTPUT, POSTROUTING] [ACCEPT, DROP]
-P 定义Policy
用于fliter表中的参数
INPUT 请求主机的信息包
OUTPUT 主机发出的信息包
FORWARD 转发的信息包

用于nat表的参数
PREROUTING 路由之前处理
OUTPUT 主机发出的信息包
POSTROUTING 路由之后处理
iptables查看规则的语法:
iptables [-t table] [-L] [-n]
-t 后面接 iptables 的 table,默认就是 -t filter。
-L 列出当前的 table 的规则
-n 不进行 IP 与 hostname 的转换

iptables清除规则的语法:
iptables [-t table] [-FXZ]
-F 清除所有规则;
-X 杀掉所有用户建立的链
-Z 将所有链的计数与流量统计都清零

iptables增加和定义规则的语法:
iptables [-t table] [-AI INPUT,OUTPUT,FORWARD] [-s IP/network] -j [ACCEPT,DROP]

-A:将一条规则添加到最后面
-I:插入一条规则,默认放在最前面
-s:来源数据包的IP地址或地址段
-j:要执行的动作(drop、accept、log)

iptables删除规则语法:
iptables -D INPUT 2,表示删除INPUT链中的第二条规则
<script type=text/javascript charset=utf-8 src="http://static.bshare.cn/b/buttonLite.js#style=-1&uuid=&pophcol=3&lang=zh"></script> <script type=text/javascript charset=utf-8 src="http://static.bshare.cn/b/bshareC0.js"></script>
阅读(855) | 评论(0) | 转发(0) |
0

上一篇:[ZT]iptables 入门

下一篇:[ZT]iptables中文手册

相关热门文章
给主人留下些什么吧!~~
评论热议
u014461454
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙
Another_Feng的博客
03-24 490
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
3G设置linux路由-iptables配置
weixin_30692143的博客
02-04 255
1.如何区分iptables的PREROUTING和POSTROUTING链 (引自http://jingyan.baidu.com/article/aa6a2c143d84470d4c19c4cf.html) *mangle#-A PREROUTING -i wlan0 -j TTL --ttl-inc 1#-A POSTROUTING -o wlan0 -j TTL --ttl-dec ...
iptables的prerouting
weixin_33695450的博客
09-22 792
今天在apache服务器 上安装了 squid 后,配置成透明代理:iptables做了如下的设置 :iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128后来启动apache服务器后,客户端无法访问。想起了之前做squid的时候...
关于PREROUTING链和POSTROUTING链
热门推荐
leo_wanta的专栏
12-12 1万+
PREROUTING 和 POSTROUTING 的简单关系 源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据 当你使用:iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40 时,你访问1.2.3.4,linux路由器会在“路由规则
iptables防火墙应用全分析
10-19
iptables防火墙应用全分析,可以参考看看
iptables高级应用实战案例
12-16
一、SNAT源地址转换; 二、DNAT目的地址转换; 三、SNAT和DNAT实战案例;
070604iptables应用L71
08-08
070604iptables应用L71
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
上位机开发罗克韦尔abcip通信协议详解
04-23
上位机开发罗克韦尔abcip通信协议详解 1.注册会话命令详解 6500 0400 00000000 00000000 0000000000000000 00000000 0100 0000 响应 6500 0400 05000400 00000000 0000000000000000 00000000 0100 0000 6500:注册请求命令 0400:服务长度(0100 0000) 00000000:会话句柄 (由PLC生成) 00000000:状态默认 0000000000000000:发送方描述,默认0 00000000:选项,默认0 0100:协议版本,默认1 0000:选项标记,默认0
Microsoft SPY++ 工具及使用教程
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口和窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 例如,在 32 位进程中运行的 Visual Studio。 因此,可以使用 Spy++ 来显示发送到“解决方案资源管理器” 中的消息。 由于 Visual Studio 中大多数生成的默认配置都是在 32 位进程中运行的,因此如果已安装所需组件,则第一个版本的 Spy++ 就是在 Visual Studio 中的“工具”菜单上可用的那一个。 第二个版本,名为 Spy++(64 位)(spyxx_amd64.exe),用于显示发送到在 64 位进程中运行的窗口的消息。 例如,在 64 位操作系统上,记事本在 64 位进程中运行。 因此,可以使用 Spy++(64 位)来显示发送到记事本的消息。 详细的使用说明请见:https://blog.csdn.net/huang1600301017/article/details/138137
js导出excel封装【原生、配置式】 示例
04-23
导出excel示例
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面.zip
04-23
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面
围绕talib-ruby项目的更高级别的包装-Ruby
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
基于Java聊天室程序(java) .zip
04-23
基于Java聊天室程序(java)
百度Apollo学习:Routing模块结构和源码.pdf
04-23
百度Apollo学习:Routing模块结构和源码
中国软件开源创新大赛:开源任务挑战赛(顶会论文复现赛).zip
04-23
中国软件开源创新大赛:开源任务挑战赛(顶会论文复现赛)
iptables 应用初探 张天成
10-18
iptables 是一种在 Linux 操作系统上广泛使用的防火墙工具。它能够通过过滤、修改和重定向网络数据包来加强服务器的安全性。 首先,iptables 可以根据源和目标 IP 地址、端口号和协议类型等条件对网络数据包进行过滤。例如,我们可以配置 iptables 来阻止特定 IP 地址或端口的流量进入服务器,从而避免潜在的安全威胁。此外,我们还可以通过 iptables 的用户定义链来进行更复杂的过滤操作。 其次,iptables 还可以修改数据包的头部信息。通过修改数据包的源或目标 IP 地址等信息,我们可以实现网络地址转换(NAT)功能,将私有 IP 地址映射为公共 IP 地址以实现 Internet 访问。此外,还可以通过修改数据包的源或目标端口号来实现端口转发等功能。 最后,iptables 还可以根据一系列规则来重定向数据包。例如,我们可以配置 iptables 将特定端口号的流量重定向到不同的服务器,以实现负载均衡或高可用性。同时,iptables 还支持连接跟踪,可以跟踪连接状态,并根据连接状态来处理数据包,从而提供更高级的安全防护。 在实际应用中,我们可以使用 iptables 命令来创建、修改和删除规则。同时,为了简化配置过程,还可以使用一些图形界面的工具,如 firewalld 和 UFW,来管理iptables。需要注意的是,正确地配置 iptables 规则非常重要,因为不当配置可能会导致网络连接问题或安全漏洞。 总的来说,通过 iptables应用,我们能够灵活地设置与管理服务器的防火墙规则,从而保护服务器免受各种网络攻击和恶意流量的侵害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值