iptables命令-- 服务器访问控制

已于 2024-02-02 13:44:56 修改
阅读量162 收藏
点赞数 2
文章标签: 服务器 网络 运维
于 2024-02-02 12:45:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45172742/article/details/135991378
版权

iptables命令

iptables 是 Linux 操作系统中用于配置 IPv4 数据包过滤规则的工具。它允许系统管理员定义数据包的走向,从而实现网络安全性的控制。

语法

iptables(选项)(参数)
选项
-t<>:指定要操纵的表;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-i:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目;
-F:清楚规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-j<目标>:指定要跳转的目标;
-i<网络接口>:指定数据包进入本机的网络接口;
-o<网络接口>:指定数据包要离开本机所使用的网络接口。

iptables命令选项输入顺序:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括:

raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
net:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。

规则链名包括:

INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。

动作包括:

accept:接收数据包。
DROP:丢弃数据包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。

实例

说明: iptables 防火墙的策略匹配顺序为从上向下,当有多条相互排斥的策略在一起时,上面的策略先匹配,并且一旦策略匹配数据包就放行或阻止掉了,下面的策略不会再生效。 

# 查看 iptables 现有规则
iptables -L -n
    
# 查看每个规则chain的序列号。
iptables -L -n --line-number
    
# 根据序列号删除指定一条防火墙规则,如:删除INPUT 表的第三条已添加规则,这里3代表第几行规则
iptables -D INPUT 3 
    
# 清空所有默认规则
iptables -F
    
# 清空所有自定义规则
iptables -X
    
# 所有计数器归 0
iptables -Z
    
# 允许来自于 lo 接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
    
# 开放22端口(-A 将规则追加在原有规则的最后一条 -I 将新添加的规则加在原有规则的第一条)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    
# 禁止访问80端口
iptables -A INPUT -p tcp --dport 80 -j DROP
      
# 允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
    
# 允许接受本机请求之后的返回数据 RELATED ,是为 FTP 设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT
      
# 同时开放2280端口
 iptables -I INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT 
    
# 开放5000-6000端口
iptables -I INPUT -p tcp --dport 5000:6000 -j ACCEPT 
    
# 允许某个网段的ip访问
iptables -I INPUT -p all -s 0.0.0.0/0 -j ACCEPT 
    
# 允许某个ip的8080端口访问
iptables -I INPUT -s 0.0.0.0 -p tcp --dport 8080 -j ACCEPT 
    
# 禁止某台主机的tcp访问访问
iptables -I INPUT -p tcp -s 0.0.0.0 -j DROP 
    
# iptables 禁止指定 IP 段访问
iptables -I INPUT -s 117.41.187.0/24 -j DROP
    
# 只允许访问本机80端口(其他端口都禁止访问
iptables -A INPUT -p tcp ! --dport 80 -j DROP
    
    
# 禁止服务器访问此IP地址
iptables -I OUTNPUT -d 114.232.9.171 -j DROP
    

删除规则:
iptables -t filter -D INPUT 2 //删除filter表中INPUT链中的第二条规则
iptables -D INPUT -s 192.168.1.100 -j ACCEPT //删除源地址为192.168.1.100,动作为ACCEPT的规则
iptables -F INPUT //删除filter表中INPUT链
iptables -F //删除所有的规则(慎用)


# 允许对外访问的所有端口
sudo iptables -A INPUT -p tcp -j ACCEPT

# 拒绝所有其他端口的访问
sudo iptables -A INPUT -j DROP

# 保存上述规则
service iptables save

# 查看配置文件,看是否把临时文件加载进来
cat /etc/sysconfig/iptables
水落大海
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables-webui:IP 表的 WebUI [WIP]
06-12
一个很好的iptables命令的 webui,用 NodeJS 编写。 目前正在进行中。 安全 此 WebUI 不打算用作一般访问长期运行的 Web 服务器。 而是假设以下流程: 用户通过 SSH 连接到带有端口转发的远程服务器,例如: ssh ...
iptables 访问控制配置
weixin_38169359的博客
06-15 141
iptables 访问控制配置: 一,四表五链:(按优先级顺序) raw:PREROUTING, OUTPUT mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING filter:INPUT,FORWARD,OUTPUT 二,规则格式: ...
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 4855
本文介绍Linux的iptables命令的用法。
iptables命令详解--包括高级用法
热门推荐
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...
iptables命令使用详解
Hell_potato777的博客
09-08 2万+
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。环境操作系统:CentOS7.3ip地址:172.16.55.7。
iptables--基础--02--命令
zhou920786312的博客
05-27 2039
iptables–基础–02–命令 前提 要安装iptables,开启防火墙 1、语法 1.1、语法格式 iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 1.2、说明 表名、链名 用于指定iptables命令所操作的表和链 命令选项 用于指定管理iptables规则的方式,比如插入、增加、删除、查看等 条件匹配 用于指定对符合什么样条件的数据包进行处理 目标动作或跳转 用于指定数据包的处理方式,比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。
Linux使用iptables限制多个IP访问你的服务器
01-20
在Linux内核上,netfilter是负责数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等功能的一个子系统,这个子系统包含一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables是一个...
Linux CentOS上用iptables设置防火墙遇到的问题
01-09
服务器环境:阿里云云服务器、Linux CentOS操作系统、Couchbase Server  开始的安全策略:默认拒绝所有、只允许所需  操作命令:  允许入站ssh连接 iptables -A INPUT -p tcp –dport 22 -m state –...
dd-wrt fantasia
07-01
在“TCP堵塞控制”选项处添加disable,默认状态为disable 1.0 - Build 20110403 更新pppd版本 减少连接跟踪消耗内存 在原版qos中添加连接数超过时的惩罚功能 增加dns缓存记录条数,并可在webgui指定老化时间 测试性...
配置iptables,把80端口转到8080的简单方法
01-10
在Linux的下面部署了tomcat,为了安全我们使用非root用户进行启动,但是在域名绑定时无法直接访问80端口号。众所周知,在unix下,非root用户不能监听1024以上的端口号,这个tomcat服务器就没办法绑定在80端口下。...
【Xshell】Xshell 连接 Linux 服务器教程
我梦
05-20 441
【Xshell】Xshell 连接 Linux 服务器教程
电子阅览室在管理时需注意什么
05-20 315
关于如今的绝大多数人来说,想必都听说过“”这一概念。它首要运用在校园中,给学生们供给愈加丰厚的常识储藏。它也是一个独立的局域网,在校园网络中作为重要的一个组成部分而存在。但是,一个好的电子阅览室是需求满意运用便利、安稳牢靠、出资合理等几大准则的,并且它会跟着信息时代的开展而不断进步。
Linux相关指令
大学生一枚
05-19 627
在linux中,可以用echo向屏幕中输出字符串:这是向屏幕输出,我们也可以向文件中输出:我们写了一段话 "hello linux",写入log.txt文件中;
Linux防火墙篇——iptables (2)和SNAT和DNAT
aran2002的博客
05-22 328
在Internet中发布位于企业局域网内的服务器
VS2022通过C++网络库Boost.asio搭建一个简单TCP异步服务器和客户端
weixin_74027669的博客
05-23 1144
上一篇博客我们介绍了通过Boost.asio搭建一个TCP同步服务器和客户端,这次我们再通过asio搭建一个异步通信的服务器和客户端系统,由于这是一个简单异步服务器,所以我们的异步特指异步服务器而不是异步客户端,同步服务器在处理一个请求时会阻塞其他请求,而异步服务器可以同时处理多个请求,不会阻塞其他请求的处理,客户端一般是不会处理其他客户端请求的,所以客户端仍旧使用同步模式。(本次博客使用的Boost库版本是1.84.0)
新加坡多ip服务器在跨境电商中有哪些优势?
最新发布
IDC_USA的博客
05-23 254
新加坡多IP服务器**在跨境外贸业务中具有明显的优势,适合需要高性能和网络稳定性的业务场景。Rak部落小编为您整理发布新加坡多ip服务器在跨境电商中有哪些优势?
服务器漏洞安全修复记录
lxw1844912514的博客
05-22 349
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是。重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。命令,你可以考虑修改 Redis 源代码,从源头上移除。
VS2022通过C++网络库Boost.Asio创建一个简单的同步TCP服务器和客户端
weixin_74027669的博客
05-19 588
注意点:使用char数组来接收客户端发送的消息的主要原因是,Boost.Asio的读取操作需要一个可变的缓冲区,而char数组提供了这样的缓冲区。同步类型的TCP服务器搭建起来相对简单,首先创建一个上下文对象ioc,然后再创建一个端点对象ep,再创建一个监听套接字对象ac,创建套接字对象必须要借助上下文对象,这是必须的,至于端点对象,你可以直接将它传入acceptor的构造函数中,这样就省略了绑定这一操作了,否则,你需要在创建完ac之后再调用bind函数,将ac和ep进行绑定。首先是服务器端的代码。
服务器】使用mobaXterm远程连接服务器
weixin_41804847的博客
05-22 266
点击:Session->SSH->填写服务器IP地址->OK,填入用户密码即连接成功。分为蓝色便携版(下载后可直接使用)和绿色安装版(需要正常安装后使用)双击运行MobaXterm_Personal,启动界面。如果nohup报错显示没有权限,给启动文件权限。下载便携版就够用,下载解压后可直接运行exe。
iptables -A INPUT -s lo -j ACCEPT 可以访问本机吗
06-14
例如,如果你想要允许从外部访问本机的 Web 服务器,可以使用以下命令: ``` iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT ``` 该命令将允许从 eth0 接口进入本机的 TCP 数据包通过,目的端口号为 80,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值