--服务重启
/etc/init.d/iptables stop
/etc/init.d/iptables start
--查看防火墙配置
# iptables -L -n
# iptables -L -nv
--新加的策略加载第5,6条
iptables -I INPUT 5 -p tcp --dport 23 -s 192.168.2.0/24 -j ACCEPT
iptables -I INPUT 6 -p tcp --dport 23 -j DROP
--修改后保存
/etc/init.d/iptables save
--删除第六条策略
iptables -D INPUT 6
iptables -F 清空所有规则
参数∶
-F ∶清除所有的已订定的规则;
-X ∶杀掉所有使用者 "自订" 的 chain (应该说的是 tables )棉;
-Z ∶将所有的 chain 的计数与流量统计都归零
iptables -I INPUT 7 -s 192.168.2.200 -j LOG
[root@rhel62 yum.repos.d]# iptables -I INPUT 7 -s 192.168.2.200 -d 192.168.2.1 -p tcp --dport 12345 --sport 12346 -j LOG
[root@rhel62 yum.repos.d]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
LOG tcp -- 192.168.2.200 192.168.2.1 tcp spt:12346 dpt:12345 LOG flags 0 level 4
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
范例一∶想要连线进入本机 port 21 的封包都抵挡掉∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
范例二∶想连到我这部主机的网 (upd port 137,138 tcp port 139,445) 就放行
[root@linux ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT
例如∶只要来自 192.168.1.0/24 的 1024:65535 埠口的封包, 只要想要连线到本机的 ssh port 就予以抵挡,可以这样做∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65534 --dport ssh -j DROP
注意啊!如果你有使用到 --sport 及 --dport 的参数时,就必须指定 udp 或 tcp 的封包格式才行!
否则的话, iptables 的指令就会出现如下的错误∶
[root@linux ~]# iptables -A INPUT -i eth0 --dport 21 -j DROP
iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
范例∶将来自任何地方来源 port 1:1023 的主动连线到本机端的 1:1023 连线丢弃 -A 附加在table的后面
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 --dport 1:1023 --syn -j DROP
/etc/init.d/iptables stop
/etc/init.d/iptables start
--查看防火墙配置
# iptables -L -n
# iptables -L -nv
--新加的策略加载第5,6条
iptables -I INPUT 5 -p tcp --dport 23 -s 192.168.2.0/24 -j ACCEPT
iptables -I INPUT 6 -p tcp --dport 23 -j DROP
--修改后保存
/etc/init.d/iptables save
--删除第六条策略
iptables -D INPUT 6
iptables -F 清空所有规则
参数∶
-F ∶清除所有的已订定的规则;
-X ∶杀掉所有使用者 "自订" 的 chain (应该说的是 tables )棉;
-Z ∶将所有的 chain 的计数与流量统计都归零
iptables -I INPUT 7 -s 192.168.2.200 -j LOG
[root@rhel62 yum.repos.d]# iptables -I INPUT 7 -s 192.168.2.200 -d 192.168.2.1 -p tcp --dport 12345 --sport 12346 -j LOG
[root@rhel62 yum.repos.d]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
LOG tcp -- 192.168.2.200 192.168.2.1 tcp spt:12346 dpt:12345 LOG flags 0 level 4
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
范例一∶想要连线进入本机 port 21 的封包都抵挡掉∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
范例二∶想连到我这部主机的网 (upd port 137,138 tcp port 139,445) 就放行
[root@linux ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT
例如∶只要来自 192.168.1.0/24 的 1024:65535 埠口的封包, 只要想要连线到本机的 ssh port 就予以抵挡,可以这样做∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65534 --dport ssh -j DROP
注意啊!如果你有使用到 --sport 及 --dport 的参数时,就必须指定 udp 或 tcp 的封包格式才行!
否则的话, iptables 的指令就会出现如下的错误∶
[root@linux ~]# iptables -A INPUT -i eth0 --dport 21 -j DROP
iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
范例∶将来自任何地方来源 port 1:1023 的主动连线到本机端的 1:1023 连线丢弃 -A 附加在table的后面
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 --dport 1:1023 --syn -j DROP
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/22661144/viewspace-1413445/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/22661144/viewspace-1413445/
扫一扫
999
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
