Iptables配置知识

最新推荐文章于 2022-09-09 18:26:10 发布

weixin_34220963

最新推荐文章于 2022-09-09 18:26:10 发布

阅读量82

点赞数

文章标签：网络运维

原文链接：http://blog.51cto.com/nn007/607159

版权

100.200服务器端口映射地址

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.100.200:9090

COMMIT

禁止与211.101.46.253的所有连接
[root@tp ~]# iptables -t nat -A PREROUTING-d 211.101.46.253 -j DROP

禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP

禁止与211.101.46.253访问21端口，精确点的写法：
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP

将80端口指向到8080端口：
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

filter表

开放端口实例操作
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 6060 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
连续打开端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7070:7079 -j ACCEPT *****

我们要开启22端口，以下两条一起写：
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

以上可以写成一条语句：

如果做了WEB服务器,开启80端口：
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

可以写成一条语句：

如果做了邮件服务器,开启25,110端口：
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT

[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

如果做了FTP服务器,开启21端口：
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服务器,开启53端口：
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

减少不安全的端口连接，例如31337:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP 源
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP 目标
有些些特洛伊***会扫描端口31337到31340(即***语言中的 elite 端口)上的服务。

只允许192.168.0.3的机器进行SSH连接:
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT *****
但是要删除这行：
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT （允许所有IP访问22端口）

丢弃坏的TCP包：
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

处理IP碎片数量,防止***,允许每秒100个：
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包：
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT *****
防止同步包洪水（Sync Flood）
#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT *****

或#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s限制syn并发数每秒1次，可以根据自己的需要修改防止各种端口扫描
最后保存：service iptables save

转载于:https://blog.51cto.com/nn007/607159