iptables命令格式
iptables [-t table] command [match] [target/jump]
选项-t用来指定使用哪个表,默认的是 filter表
常用参数
command
-A, --append添加
-D, --delete删除
-R, --replace替换
-F, --flush清除
-X, --delete-chain清除
-P, --policy默认规则
match
-p, --protocol协议
-s, --src, --source源
-d, --dst, --destination目标
-i, --in-interface网络接口,如网卡
--sport, --source-port源端口
--dport, --destination-port目标端口
--mac-source基于包的MAC源地址匹配包
--source-port
--destination-port
target
ACCEPT通过
DROP丢弃,无返回
REJECT拒绝,会返回错误信息
1,查看iptables服务启动状态
service iptables status
2,启动iptables服务,
service iptables start
3,停止iptables服务,
service iptables stop
4,重启iptables服务
service iptables restart
5,查看iptables当前设置
iptables -L -n
# iptables -L -n
Chain INPUT (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:10020:10029//连续的端口10020到10029
Chain FORWARD (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
Chain OUTPUT (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:10020:10029
6,删除iptables的某项设置
iptables -D INPUT 1 删除INPUT第一条,OUTPUT、FORWARD同样,
7,清除iptables自定义链设置,
iptables -F 清除预设表filter中的所有规则链的规则,可以用iptables -F INPUT 清除INPUT设置,OUTPUT、FORWARD同样,
8,清除iptables预设规则设置,
iptables -X 清除预设表filter中的所有规则链的规则,
9,设置ipiptables默认规则,
iptables -P INPUT ACCEPT,OUTPUT、FORWARD同样,
10,添加自定义规则,
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
11,配置iptables允许vsftpd访问
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10020:10029 -j ACCEPT//vsftpd的临时端口,
//如果OUTPUT默认规则是ACCEPT时不用设置下面内容。
iptables -A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 10020:10029 -j ACCEPT//vsftpd的临时端口,
12,配置iptables允许SSH访问
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
//如果OUTPUT默认规则是ACCEPT时不用设置下面内容。
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
13,保存iptables配置
规则保存在,/etc/rc.d/init.d/iptables,iptables自动装载。
iptables-save把规则保存到文件中,自己指定位置名称,iptables-save > /etc/sysconfig/iptables
service iptables save,它能把规则自动保存在/etc/sysconfig/iptables中,同调用/etc/rc.d/init.d/iptables save
14,恢复iptables配置
iptables-restore
补充
允许已经建立连接的数据进来
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立连接的数据出去
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许icmp包进入
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包出去
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许dns中的tcp数据包进入
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
允许dns中的tcp数据包进入
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
允许dns中的udp数据包出去
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
分享到:
相关推荐
iptables 简单设置指定端口访问权限新增,删除规则等
iptables简单设置 iptables简单设置 iptables简单设置
*nix中iptables的最基本配置,文件中列出iptables查看及配置命令。
linux内核的防火墙基础设置,可用于基础环境搭建,处理简单的拦截等,入门级
iptables简单教程 linux下防火墙设置
以下是一个简单的iptables脚本示例,用于创建一个只允许HTTP和DNS流量通过的基本防火墙: ```bash #!/bin/bash # This is a script # Edit by liwei # establish static firewall iptables -F iptables -X iptables...
iptables简单配置,通过对iptables配置可以是linux成为一台专业级防火墙
本系统主要由系统JSP前台页面,Java Bean,Java源代码,Linux下Iptables防火墙配置文件组成。JSP前台做用户交互及数据传递操作;Java Bean可以提高代码的利用率,它封装了一些本系统重复使用的Java源代码,如:读...
iptables配置实现内外网防火墙,允许内网访问外网http,https,ftp等服务,禁止外网直接访问内网主机,honeyd在ubuntu下的使用,部署简单的蜜罐系统,实现记录攻击者扫描主机及访问web信息及时间
iptables是Linux类服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置。 iptables -P...
1. **iptables的配置文件**:iptables的配置文件通常位于`/etc/sysconfig/iptables`,这是一个纯文本文件,其中包含了所有iptables的规则设置。 2. **firewalld的配置文件**:firewalld的配置更加灵活且分散。主要...
本文设计并实现了一个基于Web的Iptables图形管理工具,通过友好的配置界面,简化了Iptables防火墙的管理配置程序,更方便用户对Iptables防火墙的使用。 本工具采用Browser/Server模式,通过Web配置界面,用户可远程...
8. iptables 在手动防 CC 攻击中的简单应用 iptables 可以用来防止 CC 攻击,例如: `iptables -I INPUT -s 123.123.123.123 -j DROP` 这条命令将屏蔽特定 IP 的访问。 本文提供了一个简明的 iptables 教程,...
- **内核配置**:讲解了如何配置Linux内核以支持iptables功能。这是使用iptables的前提条件之一。 - **编译与安装**: - **编译步骤**:详细指导读者如何编译iptables源代码。 - **Red Hat 7.1上的安装**:提供了...
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/...
本文设计并实现了一个基于Web的Iptables图形管理工具,通过友好的配置界面,简化了Iptables防火墙的管理配置程序,更方便用户对Iptables防火墙的使用。 本工具采用Browser/Server模式,通过Web配置界面,用户可远程...
本文设计并实现了一个基于Web的Iptables图形管理工具,通过友好的配置界面,简化了Iptables防火墙的管理配置程序,更方便用户对Iptables防火墙的使用。 本工具采用Browser/Server模式,通过Web配置界面,用户可远程...
本文设计并实现了一个基于Web的Iptables图形管理工具,通过友好的配置界面,简化了Iptables防火墙的管理配置程序,更方便用户对Iptables防火墙的使用。 本工具采用Browser/Server模式,通过Web配置界面,用户可远程...