金沙国际app-金沙国际手机app下载

金沙国际app包括教育和科研机构建设、学科共建等,欢迎来到金沙国际手机app下载这里有多种线上娱乐游戏,金沙国际app获颁“创意中国榜”中国文化创意产业领军企业,是一家专业从事网络休闲平台游戏开发、运营的服务性企业。

当前位置:金沙国际app > 网络世界 > 金沙国际appLinux 防火墙iptables 实例

金沙国际appLinux 防火墙iptables 实例

文章作者:网络世界 上传时间:2019-10-19

基本语法:
iptables [-t table] command [match] [target/jump]
 
commad:
iptables –A/--append INPUT …
在INPUT链上添加规则
 
iptables –D/detele INPUT …
删除INPUT链上的规则
 
iptables –R/--delete INPUT 1 …
修改INPUT链上的某个规则
 
iptables –L/--list INPUT
显示所有链或者指定INPUT链的规则
 
iptables –F/--flush INPUT
清空INPUT链
 
iptables –Z/--zero INPUT
将INPUT链上的所有计数器清零
 
match:
iptables –A INPUT -p/--ptotocol tcp
指定协议,协议名称必须为/etc/protocols中定义的,也可以使用协议的值,如TCP是6
 
iptables –A INPUT –s/--src/--source 192.168.1.1
指定源IP地址,也可以使用掩码,如192.168.1.0/24,或者192.168.1.0/255.255.255.0,也可以使用取反符号,如! 192.168.1.0/24
 
iptables –A INPUT –d/--dst/--destination
指定目的IP地址,具体用法同上
 
iptables –A INPUT –i/--in-interface eth0
指定入接口,也可以用通配符,如-i +表示所有接口,-i eth+表示所有eth接口
 
iptables –A INPUT –o/--out-interface eth0
指定出接口,具体用法同上
 
iptables –A INPUT –f
指定分片的后续片,也可以用取反符号,如! –f表示非分片报文以及分片首片报文
 
iptables –A INPUT –p tcp –sport/--source-port 22
指定tcp源端口,也可以使用协议名,但必须是/etc/services中定义的,还可以指定范围,如:80表示80以及之前的端口,80:,表示80以及之后的端口,20:80,表示20到80的端口,还可以使用取反符号
 
iptables –A INPUT –p tcp –dport/--destination-port 22
指定tcp目的端口,具体用法同上
 
iptables –A INPUT –p tcp –tcp-flags SYN,FIN,ACK,ALL,NONE
指定tcp的标志,也可以使用取反符号,其中ALL,NONE表示所有标志置1的报文和所有标志未置1的报文
 
iptables –A INPUT –p tcp –syn
等同于iptables –A INPUT –p tcp –tcp-flags SYN
 
iptables –A INPUT –p tcp –tcp-option 16
指定tcp选项的值
 
iptables –A INPUT –p udp –sport/--source-port 53
指定udp的源端口,具体用法同tcp
 
iptables –A INPUT –udp –dport/--destination-port 53
指定udp的目的端口,具体用法同tcp
 
iptables –A INPUT –p icmp –icmp-type 8
指定icmp的类型金沙国际app 1

  iptables的基本语法格式

    iptables [-t 表名]金沙国际app, 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
    说明:表名、链名用于指定iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。

-A  在指定链的末尾添加(append)一条新的规则
-D  删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I  在指定链中插入(insert)一条新的规则,默认在第一行添加
-R  修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L  列出(list)指定链中所有的规则进行查看
-E  重命名用户定义的链,不改变链本身
-F  清空(flush)
-N  新建(new-chain)一条用户自己定义的规则链
-X  删除指定表中用户自定义的规则链(delete-chain)
-P  设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n  使用数字形式(numeric)显示输出结果
-v  查看规则表详细信息(verbose)的信息
-V  查看版本(version)
-h  获取帮助(help)

  

网管员的安全意识要比空喊Linux安全重要得多。

首先,把三个表清空,把自建的规则清空。

  iptables -F
  iptables -X
  iptables -F -t mangle
  iptables -t mangle -X
  iptables -F -t nat
  iptables -t nat -X

  

设定INPUT、OUTPUT的默认策略为DROP,FORWARD为ACCEPT。

  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD ACCEPT

  

先把“回环”打开,以免有不必要的麻烦。

  iptables -A INPUT -i lo -j ACCEPT
  iptables -A OUTPUT -o lo -j ACCEPT

  

所有网卡上打开ping功能,便于维护和检测。

  iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
  iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT

  

打开22端口,允许远程管理。(设定了很多的附加条件:管理机器IP必须是250,并且必须从eth0网卡进入)

本文由金沙国际app发布于网络世界,转载请注明出处:金沙国际appLinux 防火墙iptables 实例

关键词: