linux iptables配置和應用

2021-07-26 18:14:15 字數 1535 閱讀 5831

首先,把三個表清空,把自建的規則清空。

iptables -f

iptables -x

設定input、output的預設策略為drop,forward為accept。

iptables -p input -j drop

iptables -p output -j drop

iptables -p forward -j accedpt

new: 該包想要開始乙個新的連線(重新連線或連線重定向)

related:該包是屬於某個已經建立的連線所建立的新連線。舉例:

ftp的資料傳輸連線和控制連線之間就是related關係。

established:該包屬於某個已經建立的連線。

invalid:該包不匹配於任何連線,通常這些包被drop。

把「回環」開啟

iptables -a input -i lo -j accept

iptables -a onput -o lo -j accept

在所有網絡卡上開啟ping功能,便於維護和檢測。

iptables -a input -i eth+ -p icmp --icmp-type 8 -j accept

iptables -a output -o eth+ -p icmp --icmp-type 8 -j accept

開啟22埠,允許遠端管理。(設定了很多的附加條件:管理機器ip必須是250,並且必須從eth0網絡卡進入)

iptables -a input -i eth0 -s 192.168.100.255 -d 192.168.100.1 -p tcp --dport 22,23 -j accept

iptables -a input -i eth0 -s 192.168.100.1 -d 192.168.100.255 -p tcp --sport 22 -j accept 

iptables -a input -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state new,established -j accept

iptables -a output -o eth2 -p udp --dport 53 -j accept

iptables -a input -i eth2 -p udp --sport 53 -j accept

iptables -a input -i eth+ -p tcp --dport 80 -j log --log-prefix 'iptables_80' --log-level info

注由於本地程序不會經過forward鏈,因此回環介面lo只在input和output兩個鏈上作用。

iptables -a input -m limit --limit 200/s(還可以設定為200/m,200/h,200/d)

input -a input -p tcp -m state --state established,new,related -j accept

input -a input -p tcp -m state --state invalid -j drop

Linux Iptables命令詳解

ipaddr ipaddr port port 可以指定乙個單一的新的ip位址,乙個ip位址範圍,也可以附加乙個埠範圍 只能在指定 p tcp 或者 p udp的規則裡 如果未指定埠範圍,源埠中512以下的 埠 會被安置為其他的512以下的埠 512到1024之間的埠會被安置為1024以下的,其他埠...

Linux iptables規則詳解

filter input drop 345 43237 forward accept 0 0 output accept 306 41346 ainput p tcp m tcp dport 10022 j accept ainput p tcp m tcp dport 80 j accept ai...

Linux iptables基本管理

1.iptables基本管理 問題本案例要求熟悉iptables工具的基本管理,分別練習以下幾方面的操作 檢視當前生效的防火牆規則列表 追加 插入新的防火牆規則,修改現有的防火牆規則 刪除 清空指定的防火牆規則 方案採用兩台rhel6虛擬機器,在其中svr5上配置iptables防火牆規則,pc20...