Linux系统里面iptables命令使用

最新推荐文章于 2024-07-10 14:09:23 发布
最新推荐文章于 2024-07-10 14:09:23 发布
阅读量801 收藏 1
点赞数
分类专栏: Linux 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangmingcai/article/details/86571291
版权

#开启DHCP上网
#dhcpd eth0
#加载相关的内核模块
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
# 清除预设表 filter 中,所有规则链中的规则 
/sbin/iptables -F 
# 清除nat表中,所有规则链中的规则   
/sbin/iptables -F -t nat
# 清除预设表 filter 中,使用者自订链中的规则 
/sbin/iptables -X
#将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具
/sbin/iptables -Z
# 清除mangle表中,所有规则链中的规则 
#iptables -F -t mangle 
# 清除mangle表中,使用者自订链中的规则 
#iptables -t mangle -X 
# 清除nat表中,使用者自订链中的规则 
#iptables -t nat -X 
#定义链的规则(设定预设规则)
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# 打开 forward 功能 (或在/etc/sysconfig/network 中添加 FORWARD_IPV4=yes 打开转发功能,实现各网段互访)
echo "1"> /proc/sys/net/ipv4/ip_forward
# IP转发
#echo "1">/proc/sys/net/ipv4/ip_forward
#echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
#echo "8184000">/proc/sys/net/ipv4/ip_conntrack_max
#echo "1024">/proc/sys/net/ipv4/neigh/default/gc_thresh1
#echo "2048">/proc/sys/net/ipv4/neigh/default/gc_thresh2
#echo "4096">/proc/sys/net/ipv4/neigh/default/gc_thresh3
#将返回给CERNET DNS客户数据包的源端口(53端口)伪装成53端口,只要正确的改这里,下面的机器可以改成任意的dns。
iptables -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 218.30.19.40:53


#iptables -t nat -A PREROUTING -p udp -d 192.168.1.1 --dport 53 -j DNAT --to 61.134.1.9:53
#IP 伪装(SNAT应用) 
#使内网的封包经过伪装之后,使用对外的 eth0 网卡当作代理号,对外连线,进行IP地址伪装,使得内部的主机的数据包能通过服务器与外界联系!
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
#禁止ping
#ping
#iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
#iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPT
# 设置icmp阔值 ,并对攻击者记录在案,小型的防火墙!
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
iptables -A INPUT -p icmp -j DROP
# 打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null 
# 设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
# 设置支持最大连接树为 30W(这个根据内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null
# 允许要转向的包
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# 防止SYN攻击 轻量
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT
# 对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片 
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT 
# icmp包通过的控制,防止icmp黑客攻击
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# 丢弃坏的TCP包
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
#drop pp poco(禁止PP POCO)
iptables -I FORWARD -p tcp -s 0/0 --dport 2881 -j DROP
iptables -I FORWARD -p tcp -s 0/0 --dport 5354 -j DROP
iptables -I FORWARD -p tcp -s 0/0 --dport 9099 -j DROP
iptables -I FORWARD -p udp -s 0/0 --dport 8094 -j DROP
iptables -I OUTPUT -d 61.145.118.224 -j REJECT
iptables -I OUTPUT -d 210.192.122.147 -j REJECT

iptables -I OUTPUT -d 207.46.196.108 -j REJECT
#drop QQLive(禁止QQLive)
iptables -I FORWARD -p udp --dport 13000:14000 -j DROP
#drop www(禁止网页)
#iptables -I FORWARD -d www.baidu.com -j DROP 
# dorp mac(通过禁止mac禁止上网)
#iptables -t nat -I PREROUTING -m mac --mac-source 00:14:78:30:3E:DE -j DROP
#drop ip(通过禁止ip禁止上网)
#iptables -I FORWARD -s 192.168.1.35 -j DROP
#accept all(允许某个ip上网)
#iptables -I INPUT -s 192.168.1.6 -j ACCEPT
#iptables -I FORWARD -s 192.168.1.6 -j ACCEPT
#端口映射
#movie
iptables -t nat -A PREROUTING -d 124.114.130.178 -p tcp -m tcp --dport 25001 -j DNAT --to-destination 192.168.100.3:3389
iptables -t nat -A POSTROUTING -d 192.168.100.3 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.100.1 
#game
iptables -t nat -A PREROUTING -d 124.114.130.178 -p tcp -m tcp --dport 25002 -j DNAT --to-destination 192.168.100.252:3389
iptables -t nat -A POSTROUTING -d 192.168.100.252 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.100.1
#ftp
iptables -t nat -A PREROUTING -d 124.114.130.178 -p tcp -m tcp --dport 1021 -j DNAT --to-destination 192.168.100.3:21
iptables -t nat -A POSTROUTING -d 192.168.100.3 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.100.1
iptables -t nat -A PREROUTING -d 124.114.130.178 -p tcp -m tcp --dport 1022 -j DNAT --to-destination 192.168.100.252:21
iptables -t nat -A POSTROUTING -d 192.168.100.252 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.100.1
#flim
#iptables -t nat -A PREROUTING -d 124.114.130.178 -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.1.251:80
#iptables -t nat -A POSTROUTING -d 192.168.1.251 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.100.1 

aischang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4394
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
Linux操作系统IPTables
m0_51456787的博客
08-08 1141
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架(framework),netfiter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。............
udp端口转发 Linux,Linux下利用iptables快速实现UDP/TCP端口转发
weixin_39550940的博客
04-30 1375
很多时候我们搭建某些服务后,发现本地连接效果不给力,但是我们有一个国内机器,由于国内机器出去走BGP线路,国内机器连接国外效果好,本地连接国内效果也不错,这样我们就可以搭建一个跳板,从国内去连接国外服务器,常见的转发有rinetd、Haproxy、iptables、socat,前面2种只能转发TCP,后面TCP/UDP都可以转发。现阶段服务器本来就包含iptables,为啥还要安装其他的软件来转发...
iptables 拦不住dhcp。。。
sonicatnoc的专栏
09-16 1487
http://www.cit.cornell.edu/services/managed_servers/options/index.cfm
linux学习之防火墙--iptables
最新发布
YU__MU__的博客
07-10 681
为了更方便的管理,我们还可以在某个表里面创建自定义链,将针对某个应用程序所设置的规则放置在这个自定义链中,但是自定义链接不能直接使用,只能被某个默认的链当做动作去调用才能起作用,我们可以这样理解,自定义链就是一段比较”短”的链子,这条”短”链子上的规则都是针对某个应用程序制定的,但是这条短的链子并不能直接使用,而是需要”焊接”在iptables默认定义链子上,才能被IPtables使用,这就是为什么默认定义的”链”需要把”自定义链”当做”动作”去引用的原因。
iptables相关命令
lilicheung的专栏
03-20 789
INPUT/OUTPUT/FORWARD只用于-t filter INPUT    如果包的目标就是本机,则包直接进入INPUT链,再被本地正在等待该包的进程接OUTPUT   两类包走OUTPUT,一类是INPUT入的包,一类是主机本身产生的包FORWARD    如果包的目标不是本机,而是穿过本机的包,则进入FORWARD链,FORWARD既不走INPUT,也不走OUTPUT   
Iptables的规则语法
无心出岫
04-19 8097
(一) 基本语法 iptables-t filter -A INPUT -p icmp -j DROP 高级语法 iptables-t filter -A INPUT -m mac –mac-source 00:1C:23:3B:2E:B1 -j DROP 区别高级语法与基本语法的不同:首先filter的机制是由iptables_filter.ko模块所提供的功能,而这个模块本身就已提供
iptables命令使用
郑泽洲的博客
11-09 534
# 模拟某个服务器挂了 QA测试时,需要测试Redis服务器或者DDB挂了的情况,总不能去拔网线吧。。 所以用iptables命令来做 iptables -I OUTPUT 1 -p tcp --dport 6000 -j DROP //-I表示insert,或者用-A append;效果类似 iptables -D OUTPUT -p tcp --dport 6000 -j DROP ...
利用Linux自带的iptables配置防火墙
野原新之助
06-05 9103
利用Linux自带的iptables配置防火墙,完成如下配置: (1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP和HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加。
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
Linux命令详解:iptables 命令
morgan363的专栏
03-27 1240
iptables 是组成 Linux 平台下的包过滤防火墙,与大多数的 Linux 软件一样,这个包过滤防火墙是免费的,它可以替代昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常 Linux 运维工作中,经常会设置 iptables 防火墙规则,用来加固服务安全。
iptables参数详解
huangjinbin32655的博客
10-20 2829
一、IPTABLES 主要参数: -A   添加规则到链表末尾 -I     添加规则到首部 -t     操作的表,后面加表名,不加这个参数默认操作表为filter -D  删除表中规则,可以指定序列号或者匹配的规则来删除 (iptables  -t nat  -D PREROUTING 1) -F  清空规则,重启后恢复(iptables -F 清空的是filter表) -L 
linux iptables 参数,关于linux iptables的常用使用
weixin_39947812的博客
05-12 866
1、检查iptables是否安装: rpm-qa2、联网安装iptables服务组件:yuminstall iptables3、检查iptables是否运行:serviceiptables status4、查看iptables的详细规则:iptables -L5、禁止/解封一个特定ip访问主机:iptables -I INPUT -s[来源IP] -j DROP; #禁止来源IP对本机的来访ipt...
udp端口转发 Linux,Linux iptables 端口转发
weixin_39575737的博客
04-30 938
准备:1, UDP端口范围映射2, tcp 端口范围映射3, 本机端口转发4, 单个端口转发打开转发[root@CentOS ~]# cat /etc/sysctl.conf | grep net.ipv4.ip_forwardnet.ipv4.ip_forward = 1清空规则,修改默认策略,重要数据请备份[root@CentOS ~]# iptables -F -t nat[root@Ce...
iptables常用规则
au27770的博客
07-13 209
开启SSH服务端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 开启80端口,并发数大于10时,拒绝对其提供服务 iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connl...
iptables实现nat方式的流量转发
GLOBE TREKKER
03-25 3551
NAT可以方便的完成这种流量穿通功能,即把外网数据通过NAT(中转设备)来穿透进内网,内网数据通过NAT(中转设备)穿透出外网。 那linuxiptables如何实现nat转发?这里将以Debian7主机下的测试为例。 1、开启IP_FORWARD 1 2 3 vi /etc/sysctl.conf #在文件末添加以下一行(如已有则不必...
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2874
iptables防火墙详解
iptables命令学习(多网卡下的负载均衡)
12-17 2657
iptables主要参数-A 向规则链中添加一条规则,默认被添加到末尾 -T指定要操作的表,默认是filter -D从规则链中删除规则,可以指定序号或者匹配的规则来删除 -R进行规则替换 -I插入一条规则,默认被插入到首部 -F清空所选的链,重启后恢复 -N新建用户自定义的规则链 -X删除用户自定义的规则链 -p用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号, -s指定源地址 ...
iptables 命令总结---转自朱双印的博客
wo4owen的博客
06-03 559
如果想要NAT功能能够正常使用,需要开启Linux主机的核心转发功能。 echo 1 > /proc/sys/net/ipv4/ip_forward SNAT相关操作 配置SNAT,可以隐藏网内主机的IP地址,也可以共享公网IP,访问互联网,如果只是共享IP的话,只配置如下SNAT规则即可。 iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 公网IP 如果公网IP是动态获取的,不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值