設定鏈的預設策略。一般有兩種方法。
1)首先允許所有的包,然後再禁止有危險的包通過放火牆。
#iptables -p input accept
#iptables -p output accept
#iptables -p forward accept
2)首先禁止所有的包,然後根據需要的服務允許特定的包通過防火牆。
#iptables -p input drop
#iptables -p output drop
#iptables -p forward drop
新增規則
# iptables -a input -p tcp –dport 22 -j accept
# iptables -a output -p tcp –sport 22 -j accept
開啟22埠, 允許ssh登入
如開啟80埠:
# iptables -a input -p tcp –dport 80 -j accept
# iptables -a output -p tcp –sport 80 -j accept
禁止某個ip訪問
# iptables -i input -s x.x.x.x -j drop
也可進行更細緻的設定, 如只允許192.168.1.14的機器進行ssh連線:
# iptables -a input -p tcp –dport 22 -s 192.168.1.14 -j accept
如果要允許或限制一段ip位址可用192.168.1.0/24 表示192.168.1.1-255端的所有ip.
防止同步包洪水(sync flood)
# iptables -a forward -p tcp –syn -m limit –limit 1/s -j accept
防止各種埠掃瞄
# iptables -a forward -p tcp –tcp-flags syn,ack,fin,rst rst -m limit –limit 1/s -j accept
ping 洪水攻擊(ping of death)
# iptables -a forward -p icmp –icmp-type echo-request -m limit –limit 1/s -j accept
重啟防火牆:
service iptables restart
參考資料:
iptables命令學習
iptables 指令 語法 iptables t table command match j target jump t引數 用來指定規則表,內建的規則表有三個,分別是 nat,mangle和filter,當未指定規則表時,則一律視為是filter。幾個功能表的功能如下 nat規則表擁有prero...
iptables命令學習
iptables 指令 語法 iptables t table command match j target jump t引數 用來指定規則表,內建的規則表有三個,分別是 nat,mangle和filter,當未指定規則表時,則一律視為是filter。幾個功能表的功能如下 nat規則表擁有prero...
linux學習筆記 iptables命令
iptables命令是linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置 語法 iptables 選項 引數 選項 t 表 指定要操縱的表 a 向規則鏈中新增條目 d 從規則鏈中刪除條目 i 向規則鏈中插入條目 r 替換規則鏈中的條目 l ...