防火墙命令

最新推荐文章于 2023-08-17 16:30:42 发布
最新推荐文章于 2023-08-17 16:30:42 发布
阅读量413 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tt_ndyd/article/details/113928661
版权

1查看当前所有防火墙规则

  命令:iptables  -L  -n -v

要显示输入或者输出链规则,且结果中有行号,可以运行

iptables -L input -n -v 
iptables -L output -n  --line -namubers
iptables -L output -n  --line -numbers|less
iptables -L output -n -line -numbers|grep 202.54.1.1

2删除规则

命令:iptables -D INPUT 4

将IP地址202.54.1.1从规则中删除:

命令: iptables -D INPUT -s 202.54.1.1 -j DROP

3拒绝所有IP访问

命令: iptables -P INPUT DROP (拒绝入栈)/使用这个命令之前必须把你当前IP添加到允许中去
命令: iptables -P OUTPUT DROP (拒绝出栈)/这个命令用不得,特别是远程进入的

4屏蔽入栈IP地址访问

iptables -A INPUT -s 1.2.3.4 -j DROP 
iptables -A INPUT -s 192.168.0.0/24 -j DROP

5屏蔽入栈端口请求

如果我们想在80 端口上面屏蔽所有的服务请求,可以运行:
iptables -A INPUT -p tcp --dport 80 -j DROP 
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP 
只是想屏蔽地址1.2.3.4对80端口的请求,可以运行:
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP 
iptables -A INPUT -i ech1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

6屏蔽出栈IP地址

首先获取一个域名的IP地址,要屏蔽访问域名baidu.com的网络数据包,可以运行:
host -t baidu.com
iptables -A OUTPUT -d 1.2.3.4 -j DROP

7允许一系列IP地址访问

iptables -A  INPUT -s 192.190.1.1. -j ACCEPT 
iptables -A OUTPUT -s 192.190.1.1 -j ACCEPT 
iptablels -A FORWARD -s 192.190.1.1 -j ACCEPT
service iptables save 保存规则

允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

运行IP地址方位192.168.1.100 到192.168.1.200访问80端口

iptables -A INPUT -p tcp --destination -port 80 -m iprange --src -range 192.168.1.100-192.168.1.200 -jACCEPT

下面的命令可以允许7000 到7010方位内的TCP端口访问:

iptables -A INPUT  -m state --state NEW -m tcp --dport 7000:7010 -j ACCEPT

8解决重启iptables 服务重启所有连接:

重启后永久生效

开启:chkconfig iptables on 
关闭: chkconfig iptables off

即时生效,重启后失效

开启:service iptables start 
关闭:service iptables stop 
当重启iptables服务时,他会断开所有已建立的连接,这是因为在重启防火墙时,会卸载 IPTABLES_MODULES_UNLOAD 模块
要解决这个问题,可以编辑/etc/sysconfig/iptables-config 
vi /etc/init.d/iptables
IPTABLES_MODULES_UNLOAD=no

9屏蔽或者开启常用的TCP、UDP端口

可以使用DROP 替换ACCEPT,实现端口屏蔽
打开22端口(ssh)
iptables -A inPUT -m state --state NEW -m TCP -p tcp --dport 22 -j ACCEPT 
打开TCP/UDP631 端口(打印服务)
iptables  -A INPUT -s 192.168.1.0/24 -p udp -m --dport 631 -j ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m --dport 631 -j ACCEPT 
打开123端口,允许局域网用户进行NTP时间同步
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT 
打开25 端口(SMTP)
iptables -A input -m state --state NEW -p tcp --dport 25 -j ACCEPT 
打开DNS端口 
iptables -A INPUT -m state --state NEW -p udp -- dport 53 ACCEPT 
iptables -A INPUT -m state -- state NEW -p tcp --dport 53 -j ACCEPT 
打开http/https 端口
iptables  -A INPUT -m state --state NEW  -p --dport 80 -j ACCEPT 
iptables -A INPUT -m state  --state NEW -p tcp --dport 443 -j ACCept 
打开TCP110 端口(POP3)
IPtable是 -A INPUT -m  state --state NEW -p tcp --dport 110 -j ACCEPT 
打开TCP143 端口
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT 
为局域网用户开启Samba访问
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j  ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j  ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j  ACCEPT 
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport  445 -j  ACCEPT 
为局域网用户开启代理服务器访问
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT 
为局域网开启MySQL访问
iptables -l INPUT -p tcp --dport 3306 -j ACCEPT

10限制客户端IP的并发连接数

我们可以使用connlimit 模块限制哭护短IP的并发连接数,下面的命令允许每个客户端职能并发3个ssh连接:
iptables -A INPUT -p tcp --svn --dport 22 -m connlimit -adove 3 -j REJECT 
设置HTTP并发连接20个:
iptables  -p tcp --syn --dport 80 -m connlimit -adove 20 --connlimit -mask 24 -j DROP  
参数说明:
--connlimit -adove 3:连接数超过3个自动匹配
--connlimit -mask 24:子网掩码匹配

测试防火墙

测试端口是否开放:
netstat -tulpn 
测试TCP 80 端口是个开放
netstat -tu;pn|grep :80 
如果80端口开放,请确保启动Apache服务器:
service httpd start 
并确保打开iptables防火墙80端口:
iptables -L INPUT -v -n |greo 80 
如果80端口没有开放,可以运行下面的命令:
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j  ACCEPT  
service iptables save  
下面使用telnet 命令测试是否可以连接到80 端口:
telnet www.baidu.com 80

使用Crit日志级别

iptables  -A INPUT -s 1.2.3.4 -p tcp --destination -port 80 -j LOG --log -level crit

屏蔽ICMP ping请求

我们可以通过允许下面的命令屏蔽ping请求:
iptables  -A INPUT -p icmp -type echno -request -j DROP 
iptables -A INPUT -i eth1 -p icmp --icmp -type echo -request -j DROP 
也可以按照特定额网段和主机限制ping请求:
iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp -type exho -request -j ACCEPT

根据MAC地址允许或者阻止数据包的传入

iptables -A INPUT -m  mac -- mac -source 00:0F:FA:91:04:08 -j DROP

参考:http://www.csdn.net/article/2012-01-17/310905

遗忘的代码
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙命令行放行
vx XIxi_AL
12-08 2893
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的 准备工作: 所有设备修改名称 配置IP地址 防火墙默认阻挡所有流量通过 配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port ...
firewalld防火墙操作命令详解
VLadimir_的博客
01-17 1657
firewalld防火墙简介 firewalld防火墙一种动态防火墙,是一款典型的包过滤防火墙,也就是网络层防火墙,同时支持IPV6与IPV4地址,通过命令字符firewall-cmd来管理,firewalld默认存在多个区域,帮助我们管理我们的数据流量。 为什么说firewalld是一种动态防火墙了? 为了更好的理解什么是动态防火墙,我们需要拿iptables(静态防火墙)和firewalld...
panetrate command
betteroneisme的专栏
08-30 347
C:\Windows\system32> wmic qfe get Caption,Description,HotFixID,InstalledOn Caption Description HotFixID InstalledOn http://support.microsoft.com/?kbid=27...
iptables防火墙规则的添加、删除、修改、保存
ZuoQuDeBeiYing的博客
05-07 1万+
目录 摘要  一、查看规则集 二、配置默认规则 三、增加规则 四、删除规则 五、规则的保存 摘要  本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集 iptables --list -n // 加一个-n以数字形式显示IP和端口...
centos7 防火墙限制ip访问
不积跬步,无以至千里;不积小流,无以成江海。
05-08 5620
CentOS 7默认使用的防火墙是firewalld,要限制IP访问需要进行以下步骤:防火墙必须是开启的。
windows bat脚本,使用命令行增加/删除防火墙:入站-出站,规则
问题的博客
08-17 2957
常常手动设置防火墙的入站或出站规则,比较麻烦,其实可以用命令行搞定。
Windows服务、防火墙、进程相关bat
zhangchuan7758的博客
01-21 515
Windows服务、防火墙、进程相关bat实现
常用华为防火墙命令
12-12
华为防火墙命令 华为防火墙命令是配置华为路由器和防火墙的重要命令,用于创建访问规则、管理访问列表、 Filter 报文等。下面将详细介绍华为防火墙命令的使用方法和参数解释。 access-list 命令 access-list 命令...
Checkpoint防火墙命令行维护手册.pdf
01-05
Checkpoint 防火墙命令行维护手册 Checkpoint 防火墙命令行维护手册是关于Checkpoint 防火墙命令行维护指南,旨在帮助管理员快速掌握Checkpoint 防火墙的基本配置、系统状态查看、路由管理等知识点。 基本配置...
飞塔防火墙命令行手册CLI
08-15
飞塔防火墙命令行手册CLI,7.0.3版本,FortiOS
天融信防火墙命令.pdf
10-28
天融信防火墙命令.pdf
山石防火墙命令[借鉴].pdf
10-14
山石防火墙命令[借鉴].pdf
批处理防火墙添加端口和程序通过
Brava23的博客
04-29 3501
添加程序通过防火墙 echo off set b=%cd% netsh advfirewall firewall add rule name="AllowApp" dir=in action=allow program="%b%\App.exe" enable=yes pause 将此.bat文件放到需要添加通过的exe目录下,管理员运行即可。 删除已经添加的程序 echo off ne...
firewall防火墙规则
zljszn的博客
01-07 3665
前言:centos7之前的防火墙是叫iptables,但是在centos7的防火墙就叫firewallle 1.我们先查看防火墙的的状态,有着running字样的就表示防火墙是在运行的状态 systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled;
linux之防火墙命令firewall、iptable以及端口号等详解诠释(全)
码农研究僧的博客
09-09 9143
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
防火墙-iptables常用操作命令
sky_zzk的博客
12-23 2022
常用操作命令 iptables -L -n -v #查看已经添加的规则 iptables -F INPUT #清空制定链INPUT上面的规则 iptables -X INPUT #删除制定的链,这个链必须没有被其他任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。 iptables -Z INPUT #把指定链,或者表中的所有链上的所有计数器清零 iptables -t filter -l INPUT -s x.x.x.x -j DROP #添加规则 iptables
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables详解
wdt3385的专栏
12-25 4849
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
最新发布
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
关闭防火墙命令firewall
03-03
以下是一些常见操作系统和防火墙软件的关闭防火墙命令: 1. Windows 操作系统: - Windows Firewall(Windows 防火墙): - 控制面板方式:控制面板 -> 系统和安全 -> Windows Defender 防火墙 -> 打开或关闭 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值