2021-07-24

最新推荐文章于 2021-07-28 19:42:37 发布
最新推荐文章于 2021-07-28 19:42:37 发布
阅读量81 收藏
点赞数
原文链接:https://www.linuxprobe.com/basic-learning-08.html
版权

      iptables中常用的参数以及作用

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d匹配目标地址
-i 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议,如TCP、UDP、ICMP
--dport num匹配目标端口号
--sport num匹配来源端口号

iptables -P INPUT DROP
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destinatio

将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。

要对某台主机进行匹配,则直接写IP地址即可,如需对网段进行匹配,需要写子网掩码的格式,例如:192.168.10.0/24的形式。

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
 ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh 
 REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分输出信息………………

再次重申,防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。另外,这里提到的22号端口是ssh服务使用的(有关ssh服务,请见下一章),先在这里挖坑,等大家学完第9章后可再验证这个实验的效果。

在设置完上述INPUT规则链之后,使用IP地址在192.168.10.0/24网段内的主机访问服务器(即前面提到的设置了INPUT规则链的主机)的22端口,效果如下:

[root@Client A ~]# ssh 192.168.10.10
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
ECDSA key fingerprint is SHA256:5d52kZi1la/FJK4v4jibLBZhLqzGqbJAskZiME6ZXpQ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
root@192.168.10.10's password: 此处输入服务器密码
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Wed Jan 20 16:30:28 2021 from 192.168.10.1

然后,再使用IP地址在192.168.20.0/24网段内的主机访问服务器的22端口(虽网段不同,但已确认可以相互通信),效果如下,就会提示连接请求被拒绝了(Connection failed):

[root@Client B ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.

 

qq_41634814
关注
2021-07-24 .NET高级班 119-直播项目专题(头像上传)
时光隧道
07-24 5万+
vue前端 <el-upload class="avatar-uploader" :disabled="!isChangeInfoForm" action="api/File/UploadFile" :show-file-list="false" :on-success="handleAvatarSuccess" :before-upload="beforeAvatarUpload"
2021-07-24 时间处理 例2021-07-23T01:45:00.000Z
weixin_42597658的博客
07-24 2201
最近使用比较多的小tips 时间戳处理,例如2021-07-23T01:45:00.000Z renderTime(date) { var dates = new Date(date).toJSON(); return new Date(+new Date(dates) + 8 * 3600 * 1000).toISOString().replace(/T/g, ' ').replace(/\.[\d]{3}Z/, '') } 处理后的样式如下 2021-07-21
idea连接虚拟机spark(2021-07-24
qq_38220334的博客
07-24 3692
说明:本地在idea连接虚拟机时遇到了很多问题,为了以后避免入坑,特记录文档如下,包括我搭建的集群环境及idea中是怎么配置的,中间遇到问题报错记录及解决方法 一、集群环境: 大数据各个组件版本 192.168.15.10 192.168.15.11 192.168.15.12 jdk1.80 √ √ √ hadoop-2.6.1 √ √ √ mysql5.7 √ hive √ Scala √ √ √ spark √ √ √ 二、本地windows环境: 1.
AIOC工具箱授权码2021-07-24到期
qq_44785837的博客
07-09 2828
还有九台机器可连
2021-07-28
lixiaoxianer的博客
07-28 4040
kubeadmin 安装k8s1.20集群 标签(空格分隔): kubernetes架构系列 一:k8s1.20.x 的重要更新 二:k8s1.20.x 的安装 2.1 :高可用Kubernetes集群规划 2.2 yum 的更新配置 (所有节点全部安装) 一:k8s1.20.x 的重要更新 1、Kubectl debug 设置一个临时容器 2、Sidecar 3、Volume:更改目录权限,fsGroup 4、ConfigMap和Secret K8S官网:https://kubernetes.io/
2021-07-20
热门推荐
bananaAppen的博客
07-20 1万+
Markdown学习 标题: 二级标题 三级标题 字体 hello world! hello world! hello world! hello world! 引用 当一个牛逼的大佬 分割线 图片 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0QBYDjzR-1626793548647)(C:\Users\Public\Pictures\Sample Pictures\de1d0155b209eb8677402e5bb7c217f31c21675b.png@880
2021-07-12
yyyyyrr5的博客
07-24 1987
HRS1H-S-DC5V继电器六脚的接法 注意事项: 1.HRS1H-S-DC5V继电器最大过1A电流 2.续流二极管需要接好(为了让线圈续流) 3.一三脚为常开(就是控制端未接高电平时一三脚是断开的)四六脚为常闭. 4.控制端需5v以上电压才可控制(5-12v都可以用,但高于6v时会发热) 5.控制端需隔离时可用光耦 6.使用时5脚接vcc,2脚接GND时,1、3脚闭合,4、6脚断开 ...
2021-01-08
weixin_45404781的博客
01-08 926
typedef struct tagCOPYDATASTRUCT { DWORD dwData; //用户自定义字段 DWORD cbData; //数据长度 PVOID lpData; //内容指针 } COPYDATASTRUCT;
2021-07-24:安装MinGW-w64 编译器注意事项及配置到MATLAB的方式
jianai_i的博客
07-24 4710
标题:安装MinGW-w64 编译器注意事项及配置到MATLAB的方式 !!!!!!!!!!!!!!内容参照多位网友的文章综合而成!!!!!!!!!!!!!!,仅为个人学习总结使用,如有侵权请留言告知。 下面的内容分别参考(转自):MinGW-w64的安装及配置教程_Wendy的博客-CSDN博客_mingw安装 和 MATLAB安装配置MinGW-w64 C/C++编译器 - 知乎 (zhihu.com)。 一、获取MinGW-w64安装包 从官网下载 选择Downloads,进入 MinGW-w6
2021-07-14
unix2linux的博客
07-14 2471
cat /etc/redhat-release CentOS Linux release 8.2.2004 (Core) wget https://mirrors.tuna.tsinghua.edu.cn/apache/hive/hive-3.1.2/apache-hive-3.1.2-bin.tar.gz --no-check-certificate wget https://mirrors.tuna.tsinghua.edu.cn/apache/hadoop/common/hadoop-2.10
2021-07-24_132607_424870429_419753492.zip
08-05
标题中的"2021-07-24_132607_424870429_419753492.zip"可能表示这个压缩包是在2021年7月24日13时26分创建或更新的,数字可能是某种随机生成的唯一标识符,用于区分不同的文件。描述中的“MOSS实时抓取”暗示了这些...
johanazhu#leetcode#【Day 76 】2021-07-24 - 28 实现 strStr() - KMP1
07-25
题目地址:思路对于js来说就一行看解题思路使用 KMP 实现代码* @param {string} haystack* @param {string} need
工业数字化转型状况[2021-07-07](24页).pdf
05-21
【工业数字化转型状况】报告揭示了2021年企业在应对新冠疫情挑战时,对数字化转型的重视程度。美国参数技术公司(PTC)指出,许多企业加大了对数字化转型的投资,但转型的成功率并不高。这份报告深入分析了企业数字化...
Screencast 2021-07-19 11:24:12.mp4
07-19
Screencast 2021-07-19 11:24:12.mp4
基于微信小程序的新生报到系统设计与实现.docx
09-13
基于微信小程序的新生报到系统设计与实现.docx
基于java的电商平台的设计与实现.docx
09-13
基于java的电商平台的设计与实现.docx
基于java的大学生智能消费记账系统的设计与实现.docx
09-13
基于java的大学生智能消费记账系统的设计与实现.docx
基于java的植物健康系统设计与实现.docx
09-13
基于java的植物健康系统设计与实现.docx
weixin151云匹面粉直供微信小程序+springboot.rar
最新发布
09-13
所有源码,都可正常运行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值