Linux [ iptables ]

最新推荐文章于 2024-08-15 20:29:14 发布
最新推荐文章于 2024-08-15 20:29:14 发布
阅读量554 收藏
点赞数
分类专栏: 项目必需 文章标签: linux output input tcp dns服务器 filter
(1)查看本机关于IPTABLES的设置情况

[root@tp ~]# iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

(2)清除原有规则.

不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F      清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X      清除预设表filter中使用者自定链中的规则
[root@tp ~]# /etc/rc.d/init.d/iptables save

[root@tp ~]# service iptables restart

(3)设定预设规则
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包,而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在这个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT  (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.

在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.

二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
[root@tp rc.d]# iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
SNAT       all  --  192.168.0.0/24       anywhere            to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

如果你想清除,命令是
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
禁止与211.101.46.253的所有连接
  [root@tp ~]# iptables -t nat -A PREROUTING  -d 211.101.46.253 -j DROP
禁用FTP(21)端口 
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义.
[root@tp ~]# iptables -t nat -A PREROUTING  -p tcp --dport 21 -d 211.101.46.253 -j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
 
最后:
drop非法连接
[root@tp ~]# iptables -A INPUT   -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT  -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@tp ~]# service iptables restart



jesseshen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查看linux iptables 配置文件,Linux iptables 配置详解
weixin_29752389的博客
05-13 4048
Linux iptables 配置详解[日期:2012-12-29]来源:Linux社区作者:Linux[字体:大 中 小]一、配置一个filter表的防火墙1. 查看本机关于 iptables 的设置情况# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (polic...
linux iptables禁止端口,Linuxiptables 禁止端口和开放端口示例
weixin_29284657的博客
05-14 5447
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现:iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP再用命令iptables -L -n查看 是否设置好, 好看到全部 DROP 了这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态还要使用 ...
linux iptables
u013015301的博客
07-12 3411
一、iptables基础 ①规则(rules):网络管理员预定义的条件 ②链(chains): 是数据包传播的路径 ③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能 ④filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。 ⑤...
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 15万+
iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
Linux iptables设置
weixin_42799951的博客
10-19 422
iptables,防火墙
Linux iptables 重定向 IP
小单的博客专栏
12-28 1150
2、主机A有2个IP(192.168.10.22、192.168.20.33),在主机B上访问 192.168.20.33 正常,但是无法访问 192.168.10.22,现在的需求是想让主机B能通过访问 192.168.10.22 来正常主机A,相当于直接访问 192.168.20.33 的效果。之所以要这样做,是因为在主机B上运行了业务服务,服务中会调用主机A的数据接口进行交互,该数据接口使用的IP的是 192.168.10.22,且很难修改。1、现有 Linux 主机A一台,Linux 主机B一台。
Linux iptables NAT配置
Q先生
09-01 2104
Linux iptables NAT配置1.NAT原理总结1.2 NAT的实现分为下面类型:2.iptables规则持久保存2.1Centos 62.2 Centos7+3. SNAT和DNAT配置语法3.1 SNAT3.2 DNAT 1.NAT原理总结 NAT: (Network Address Translation)支持PREROUTING,INPUTOUTPUT,POSTROUTING四个链 请求报文: 修改源/目标IP,由定义如何修改 响应报文: 修改源/目标IP,根据跟踪机制自动实现 1.2
linux iptables mac,mac下的iptables---pfctl
weixin_36345268的博客
05-13 1675
iptablesLinux下的防火墙,可以进行数据包的过滤,在网络层进行数据的转发、拦截或丢弃等,使用非常普遍,功能也非常强大。但是Mac下没有iptables,为了实现流量转发和过滤,要使用到Mac自带的PFctl。PFctl即control the packet filter,是Unix LIKE系统上进行TCP/IP流量过滤和网络地址转换的系统,也能提供流量整形和控制等,详情可以见PF防火...
Linux iptables 命令(防火墙)
mayue_web的博客
03-28 1157
Linux iptables命令详解Linuxiptables 超详细教程和使用示例iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。iptables 是集成在 Linux 内核中的包过滤防火墙系统。
【运维必备】Linux iptables命令详解
maizaozao的专栏
06-13 6671
iptables
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
linux iptables介绍
07-15
linux iptables介绍
Linux iptables防火墙实用模板
06-22
Linux iptables防火墙实用模板
linux iptables 源码
09-30
linux iptables 源码
Linux iptables Pocket Reference
08-03
学习iptables经典书籍,全网最低积分
Linux 定时任务
flash的博客
08-14 277
Linux系统中,cron是一个广泛使用的定时任务工具,允许用户安排周期性执行的任务(脚本或命令)。cron守护进程(crond)会读取配置文件(通常位于/etc/crontab),并根据这些配置文件中指定的时间规则来执行相应的任务。
linux:有关目录、链接文件的函数 Makefil、gdb的使用
最新发布
T66656的博客
08-15 617
功能:根据用户id到/etc/passwd文件下解析获得结构体信息参数:uid:用户id返回值:成功返回id对应用户的信息失败返回NULLpasswd结构体的定义通常如下所示。
linux开启RNDIS,实现虚拟网卡
轩辕霸天L
08-15 266
首先要 `make clean`,清空之前的编译结果。
linux为QT程序创建桌面应用
王尼莫的博客
08-12 207
【代码】linux为QT程序创建桌面应用。
Linux iptables
09-02
Linux iptables是一个基于内核的防火墙工具,它可以通过配置规则表来控制网络流量的传入和传出。iptables可以被用来保护计算机免受恶意攻击和未经授权的访问。它使用规则来决定如何处理数据包,可以允许或拒绝特定类型的流量。 在设置iptables时,一般会使用命令来定义规则。例如,可以使用命令`iptables -P INPUT DROP`和`iptables -P FORWARD DROP`来将默认规则设置为拒绝所有输入和转发的流量。这意味着除非明确允许,否则所有的数据包都会被丢弃。 此外,还可以使用命令`iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT`来允许通过TCP协议的端口20和21的流量进入系统。同样地,可以使用命令`iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP`来拒绝转发到目标IP地址为192.168.80.0/24且端口范围为24500至24600的TCP流量。 iptables可以通过配置不同的规则表(如raw、mangle、nat和filter)来实现不同的功能。这些规则在配置后会立即生效,无需重新启动服务。此外,还可以创建自定义的链来更好地组织规则。 总结来说,Linux iptables是一个强大的防火墙工具,通过配置规则表和链,可以控制网络流量的传入和传出,从而保护计算机免受恶意攻击和未经授权的访问。通过设置默认规则和特定的规则,可以选择允许或拒绝特定类型的流量进入或离开系统。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Linux——iptables防火墙](https://blog.csdn.net/nwp0611/article/details/130992009)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [防火墙之iptables](https://blog.csdn.net/zmac111/article/details/117226578)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值