首先,把三個表清空,把自建的規則清空。
iptables -f
iptables -x
設定input、output的預設策略為drop,forward為accept。
iptables -p input -j drop
iptables -p output -j drop
iptables -p forward -j accedpt
new: 該包想要開始乙個新的連線(重新連線或連線重定向)
related:該包是屬於某個已經建立的連線所建立的新連線。舉例:
ftp的資料傳輸連線和控制連線之間就是related關係。
established:該包屬於某個已經建立的連線。
invalid:該包不匹配於任何連線,通常這些包被drop。
把「回環」開啟
iptables -a input -i lo -j accept
iptables -a onput -o lo -j accept
在所有網絡卡上開啟ping功能,便於維護和檢測。
iptables -a input -i eth+ -p icmp --icmp-type 8 -j accept
iptables -a output -o eth+ -p icmp --icmp-type 8 -j accept
開啟22埠,允許遠端管理。(設定了很多的附加條件:管理機器ip必須是250,並且必須從eth0網絡卡進入)
iptables -a input -i eth0 -s 192.168.100.255 -d 192.168.100.1 -p tcp --dport 22,23 -j accept
iptables -a input -i eth0 -s 192.168.100.1 -d 192.168.100.255 -p tcp --sport 22 -j accept
iptables -a input -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state new,established -j accept
iptables -a output -o eth2 -p udp --dport 53 -j accept
iptables -a input -i eth2 -p udp --sport 53 -j accept
iptables -a input -i eth+ -p tcp --dport 80 -j log --log-prefix 'iptables_80' --log-level info
注由於本地程序不會經過forward鏈,因此回環介面lo只在input和output兩個鏈上作用。
iptables -a input -m limit --limit 200/s(還可以設定為200/m,200/h,200/d)
input -a input -p tcp -m state --state established,new,related -j accept
input -a input -p tcp -m state --state invalid -j drop
Linux Iptables命令詳解
ipaddr ipaddr port port 可以指定乙個單一的新的ip位址,乙個ip位址範圍,也可以附加乙個埠範圍 只能在指定 p tcp 或者 p udp的規則裡 如果未指定埠範圍,源埠中512以下的 埠 會被安置為其他的512以下的埠 512到1024之間的埠會被安置為1024以下的,其他埠...
Linux iptables規則詳解
filter input drop 345 43237 forward accept 0 0 output accept 306 41346 ainput p tcp m tcp dport 10022 j accept ainput p tcp m tcp dport 80 j accept ai...
Linux iptables基本管理
1.iptables基本管理 問題本案例要求熟悉iptables工具的基本管理,分別練習以下幾方面的操作 檢視當前生效的防火牆規則列表 追加 插入新的防火牆規則,修改現有的防火牆規則 刪除 清空指定的防火牆規則 方案採用兩台rhel6虛擬機器,在其中svr5上配置iptables防火牆規則,pc20...