linux端口过滤,15.5.2 Iptables端口过滤实例（1）

15.5.2  Iptables端口过滤实例(1)

1. 清空控制规则

操作实例：

方法1[root@server1 ~]# iptables -t filter -F

[root@server1 ~]# iptables -t nat -F

[root@server1 ~]# iptables -t mangle -F

方法2[root@server1 ~]# /etc/init.d/iptables stop

操作分解(方法1)：

-t filter：对过滤表进行操作，用于常规的网络地址及端口过滤。

-t nat：对网络地址转换表进行操作，用于网络连接共享、端口映射等操作。

-t mangle：对mangel表进行操作，用于改变包的TOS等特性的操作。

-F：清空列表中的所有规则。

全句解释(方法1)：

通过Iptables命令清空filter、nat及mangle表中的规则，也就是清空Iptables中的所有规则。

全句解释(方法2)：

在Red Hat Enterprise Linux中可以通过对Iptables服务进行stop操作来达到清空Iptables规则的效果，但是这并不会真正地清除规则，当Iptables应用启动的时候仍然会读取/etc/sysconfig/iptables文件，重新载入已记录的规则。

2. 基于访问源的控制

操作实例：[root@server1 ~]# iptables -t filter -A INPUT -s 192.168.101.202 -j DROP

操作分解：

-t filter：使用过滤(表)功能对网络行为进行控制处理。

-A INPUT：表示对INPUT链进行规则追加操作。

-s 192.168.101.202：表示针对访问来源IP地址为192.168.101.202的信息包进行处理。

-j DROP：丢弃(不向访问来源返回任何信息)符合规则的信息包。

全句解释：

使用Iptables在过滤列表的INPUT链中追加规则，一旦发现从外部要求访问本机网络服务且源IP地址为192.168.101.202的信息包，就马上将其丢弃。

3. 基于访问目标的控制

操作示例：[root@server1 ~]# iptables -A OUTPUT -d

192.168.101.250 -p tcp --dport 80 -j REJECT

操作分解：

-t filter：此处没有使用-t filter，但同样会对filter进行操作，因为filter是Iptables默认操作的链表。

-A OUTPUT：表示对OUTPUT链进行规则追加操作。

-d 192.168.101.250：表示针对访问目标为192.168.101.250的信息包进行处理。

-p tcp -dport 80：表示针对访问目标协议为TCP，且端口为80的信息包进行处理。

-j REJECT：拒绝(向访问源发送拒绝请求信息)符合规则的信息包。

全句解释：

使用Iptables在过滤列表的OUTPUT链中追加规则，一旦发现从本地要求访问外部网络服务且访问协议为TCP目标IP为192.168.101.250、端口为80的信息包，就马上将其拒绝。

4. 同时过滤多个端口

操作实例：[root@server1 ~]# iptables -A INPUT -i eth0

-p udp --dport 137:139 -j REJECT

[root@server1 ~]# iptables -I INPUT 2 -i eth1

-p udp -m multiport --dports 80,443 -j APPECT

操作分解：

-i eth0：表示针对从eth0网卡进入的信息包进行操作。

-p udp --dport 137:139：表示针对访问目标协议为UDP且端口为137-139的信息包进行处理。

-I INPUT 2：在INPUT链的第2行进行规则插入操作。

-p tcp -m multiport --dports 80,443：表示针对访问目标协议为TCP且端口为80或443的信息包进行处理。

-j APPECT：允许符合规则的信息包通过。

全句解释：

第1句：使用Iptables在过滤列表的INPUT链中追加规则，一旦发现通过eth0网卡接口从外部要求访问本机网络服务且访问协议为UDP、目标访问端口为137-139的信息包，就马上将其拒绝。

第2句：使用Iptables在过滤列表的INPUT链的第2行插入规则，一旦发现通过eth

【责任编辑：云霞 TEL：(010)68476606】

点赞 0