linux中iptables常用方法有哪些
导读:本文共3247.5字符,通常情况下阅读需要11分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: iptables其实是一个命令行工具,可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。1、清空数据包流量、清空链、清空规则使用下面几个命令可以清空iptables表:#使用-t选项选择哪个表,表有filter,nat,mangle三个... ...
目录
(为您整理了一些要点),点击可以直达。iptables其实是一个命令行工具,可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。
1、清空数据包流量、清空链、清空规则
使用下面几个命令可以清空iptables表:
#使用-t选项选择哪个表,表有filter,nat,mangle三个表iptables-tfilter-Fiptables-tfilter-Xiptables-tfilter-Z
-F清空所有链的规则,-X删除自定义的链,-Z清空数据包流量。
2、设置默认策略
默认链策略是ACCEPT。对于所有INPUT,FORWARD和OUTPUT链,将其更改为DROP,如下所示:
iptables-PINPUTDROPiptables-POUTPUTDROPiptables-PFORWARDINGDROP
将INPUT和OUTPUT链的默认策略都设置为DROP时,对每个防火墙规则要求,都应定义两个规则,一个用于INPUT,一个用于OUTPUT。
如果信任内部用户,则可以省略上面的OUTPUT。即默认情况下不丢弃所有OUTPUT数据包。在这种情况下,对于拥有的每个防火墙规则要求,只需定义一个规则即可。即只为INPUT定义规则,因为所有数据包的传出都是ACCEPT。
3、阻止指定的IP地址进入
BLOCK_THIS_IP="x.x.x.x"iptables-AINPUT-s"$BLOCK_THIS_IP"-jDROP或者iptables-AINPUT-iens160-s"$BLOCK_THIS_IP"-jDROP或者iptables-AINPUT-iens160-ptcp-s"$BLOCK_THIS_IP"-jDROP
定义一个变量,值写入要阻止的ip地址。上面第一条规则的意思是从某个ip进入的流量拒绝掉。第二条规则是阻止某个ip地址从eth0进入的流量。第三条规则指的是拒绝某个ip地址从eth0进入访问tcp协议的流量。
4、允许外部用户ssh登录本机
以下规则允许ens160接口上的所有传入的ssh连接。
iptables-AINPUT-iens160-ptcp--dport22-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AOUTPUT-oens160-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
下面是允许指定网段的ip地址连接本机的ssh服务:
iptables-AINPUT-iens160-ptcp-s192.168.100.0/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AOUTPUT-oens160-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
5、允许本机使用ssh登录远程主机
以下规则允许传出ssh连接。当从内部ssh连接到外部服务器时可以使用:
iptables-AOUTPUT-oens160-ptcp--dport22-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AINPUT-iens160-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
6、使用multiport模块,允许外部访问本机的80,443
下面使用multiport模块,可以减少写入规则条数。下面实例允许外部访问本机的http,https服务。
iptables-AINPUT-iens160-ptcp-mmultiport--dports80,443-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AOUTPUT-oens160-ptcp-mmultiport--sports80,443-mstate--stateESTABLISHED-jACCEPT
7、允许本地访问外部的http,https服务
下面命令允许本机访问外面的http,https服务:
iptables-AOUTPUT-oens160-ptcp-mmultiport--dports80,443-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AINPUT-iens160-ptcp-mmultiport--sports80,443-mstate--stateESTABLISHED-jACCEPT
8、允许外部ping本机
以下规则允许外部用户能够ping你的服务器:
iptables-AINPUT-picmp--icmp-typeecho-request-jACCEPTiptables-AOUTPUT-picmp--icmp-typeecho-reply-jACCEPT
9、允许本机ping外部
以下规则允许从内部ping到任何外部服务器:
iptables-AOUTPUT-picmp--icmp-typeecho-request-jACCEPTiptables-AINPUT-picmp--icmp-typeecho-reply-jACCEPT
10、防DDOS攻击
下面规则将帮助你预防Web服务器上的拒绝服务(DoS)攻击:
iptables-AINPUT-ptcp--dport80-mlimit--limit25/minute--limit-burst100-jACCEPT
-m limit:使用limit模块 -limit 25/minute:此限制每分钟最多25个连接。根据具体要求更改此值 -limit-burst 100:该值表示只有在连接总数达到limit-burst级别后,才执行limit 25/minute。
</div> <div class="zixun-tj-product adv-bottom"></div> </div> </div> <div class="prve-next-news">linux中iptables常用方法有哪些的详细内容,希望对您有所帮助,信息来源于网络。