英特网来看这些布局教学得还相比易懂,就转过来了,大家一道看下,希望对您做事能抱有帮忙。
网管员的安全意识要比空喊Linux安全关键得多。

iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X
率先,把八个表清空,把自建的条条框框清空。

iptables -P INPUT
DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
设定INPUT、OUTPUT的暗中同意战术为DROP,FO奥迪Q5WA奥迪Q7D为ACCEPT。

iptables -A INPUT
-i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
先把“回环”张开,避防有不供给的劳苦。

iptables -A INPUT
-i eth+ -p icmp –icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp –icmp-type 0 -j ACCEPT
在颇具网卡上打开ping功用,便于维护和检查实验。

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp
–dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp
–sport 22 -j ACCEPT
开采22端口,允许远程管理。(设定了好些个的叠合条件:管理机器IP必须是250,并且必须从eth0网卡进入)

iptables -A INPUT
-i eth0 -s 192.168.100.0/24 -p tcp –dport 3128 -m state –state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp –sport 3128 -m
state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.168.0/24 -p tcp –dport 3128 -m
state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.168.0/24 -p tcp –sport 3128 -m
state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth2 -p tcp –dport 32768:61000 -m state –state
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp –sport 32768:61000 -m state –state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p udp –dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp –sport 53 -j ACCEPT
地点这几句是相比咳嗽的,笔者做逐个分解。

iptables -A INPUT
-i eth0 -s 192.168.100.0/24 -p tcp –dport 3128 -m state –state
NEW,ESTABLISHED -j ACCEPT
同意192.168.100.0/24网段的机器发送数据包从eth0网卡进入。借使数据包是tcp协议,而且指标端口是3128(因为REDIRECT已经把80改为3128了。nat表的PREROUTING是在filter表的INPUT前面包车型地铁。)的,再而且,数据包的图景必须是NEW也许ESTABLISHED的(NEW代表tcp三段式握手的“第一握”,换句话说就是,允许客户端机器向服务器发出链接申请。ESTABLISHED表示通过握手已经济建设立起链接),通过。

iptables -A OUTPUT
-o eth2 -p tcp –sport 32768:61000 -m state –state NEW,ESTABLISHED -j
ACCEPT
咱俩先来看这一句。未来你的数据包已经进来到linux服务器防火墙上来了。squid供给代表你去拜谒,所以这时候,服务器就成了客户端的剧中人物,所以它要选拔32768到6一千的私家端口举办访问。(大家会意外应该是1024到65535呢。其实CentOS版的linux所定义的私有端口是32768到6一千的,你能够透过cat
/proc/sys/net/ipv4/ip_local_port_range,查看一下。)再度宣示:这里是squid以客户端的地位去访问其余的服务器,所以这边的源端口是32768:6一千,而不是3128!

iptables -A INPUT -i eth2 -p tcp –dport 32768:61000 -m state –state
ESTABLISHED -j ACCEPT
当然了,数据有去就有回。

iptables -A OUTPUT
-o eth0 -d 192.168.100.0/24 -p tcp –sport 3128 -m state –state
ESTABLISHED -j ACCEPT
数码包还得经过服务器,转到内网网卡上。请留意,这里,是squid帮你去做客了您想要访问的网站。所以在内网中,你的机器是客户端角色,而squid是服务器角色。那与刚刚对外访问的进度是见仁见智的。所以在那边,源端口是3128,而不是32768:6一千。

iptables -A OUTPUT
-o eth2 -p udp –dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp –sport 53 -j ACCEPT
自然,DNS是不足缺点和失误的。

iptables -A INPUT
-i eth+ -p tcp –dport 80 -j LOG –log-prefix “iptables_80_alert”
–log-level info
iptables -A INPUT -i eth+ -p tcp –dport 21 -j LOG –log-prefix
“iptables_21_alert” –log-level info
iptables -A INPUT -i eth+ -p tcp –dport 22 -j LOG –log-prefix
“iptables_22_alert” –log-level info
iptables -A INPUT -i eth+ -p tcp –dport 25 -j LOG –log-prefix
“iptables_25_alert” –log-level info
凯旋门074网址,iptables -A INPUT -i eth+ -p icmp –icmp-type 8 -j LOG –log-prefix
“iptables_icmp8_澳门凯旋门注册网址,alert” –log-level info
当然了,来点日志记录会对网管员有所援救。

iptables 基本命令使用举个例子

      一、链的基本操作
1、清除全体的条条框框。
1)清除预设表filter中有着条条框框链中的平整。
# iptables -F
2)清除预设表filter中使用者自定链中的规则。
#iptables -X
#iptables -Z
2、设置链的私下认可计策。一般有二种情势。
1)首先同意具有的包,然后再禁止有如临深渊的包通过放火墙。
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT
2)首先禁止全数的包,然后根据须求的劳动允许特定的包通过防火墙。
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
3、列出表/链中的全数规则。暗许只列出filter表。
#iptables -L
4、向链中增加规则。下边包车型地铁言辞用于开放网络接口:
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
#iptables -A INPUT -i eth0 -j ACEPT
#iptables -A OUTPUT -o eth1 -j ACCEPT
#iptables -A FORWARD -i eth1 -j ACCEPT
#iptables -A FORWARD -0 eth1 -j ACCEPT
注意:由于本地进程不会经过FOCRUISERWA昂科拉D链,因而回环接口lo只在INPUT和OUTPUT七个链上效益。
5、使用者自定义链。
#iptables -N custom
#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP
#iptables -A INPUT -s 0/0 -d 0/0 -j DROP
二、设置基本的平整相称
1、内定协议相配。
1)相称内定协议。
#iptables -A INPUT -p tcp
2)相配钦赐协议之外的保有协议。
#iptables -A INPUT -p !tcp
2、内定地方相称。
1)内定相称的主机。
#iptables -A INPUT -s 192.168.0.18
2)钦赐匹配的互连网。
#iptables -A INPUT -s 192.168.2.0/24
3)相配钦命主机之外的地方。
#iptables -A FORWARD -s !192.168.0.19
4)相称钦点互连网之外的互联网。
#iptables -A FORWARD -s ! 192.168.3.0/24
3、钦命网络接口相配。
1)钦定单一的网络接口相配。
#iptables -A INPUT -i eth0
#iptables -A FORWARD -o eth0
2)钦定同连串的网络接口相称。
#iptables -A FORWARD -o ppp+
4、内定端口相称。
1)钦命单一端口相称。
#iptables -A INPUT -p tcp –sport www
#iptables -A INPUT -p udp –dport 53
2)相称钦赐端口之外的端口。
#iptables -A INPUT -p tcp –dport !22
3)相配端口范围。
#iptables -A INPUT -p tcp –sport 22:80
4)匹配ICMP端口和ICMP类型。
#iptables -A INOUT -p icmp –icimp-type 8
5)指定ip碎片。

个互连网接口都有二个MTU(最大传输单元),那么些参数定义了能够因而的数据包的最大尺寸。要是四个数目包大于那个参数值时,系统会将其分割成越来越小的数据包
(称为ip碎片)来传输,而接受方则对那些ip碎片再张开整合以平复整个包。那样会造成三个主题材料:当系统将大数量包划分成ip碎片传输时,第二个缺头少尾含有
完整的秦皇岛音讯(IP+TCP、UDP和ICMP),但是后续的碎片唯有岳阳的有的音讯(如源地址、指标地址)。因而,检查前面的ip碎片的头顶(象有
TCP、UDP和ICMP同样)是相当的小概的。要是有诸如此类的一条规则:
#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport
80 -j ACCEPT
与此同时那时的FOKugaWAEscortD的policy为DROP时,系统只会让第多个ip碎片通过,而剩下的碎片因为济宁新闻不完整而高不可攀透过。能够由此—fragment/-f
选项来钦定第三个及然后的ip碎片化解上述难点。
#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
留神现行反革命有成都百货上千进展ip碎片攻击的实例,如DoS攻击,由此同意ip碎片通过是有安全隐患的,对于那或多或少方可采纳iptables的合营扩张来张开界定。
三、设置扩张的条条框框相称(举个例子已忽略目的动作)
1、多端口相配。
1)相称三个源端口。
#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110
2)相称两个指标端口。
#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80
3)相配多端口(无论是源端口依然目标端口)
#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
【澳门凯旋门注册网址】linux 防火墙iptables。2、钦点TCP相配扩张
【澳门凯旋门注册网址】linux 防火墙iptables。使用 –tcp-flags 选项可以依照tcp包的证明位打开过滤。
#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN
#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK
上实例中第一个代表SYN、ACK、FIN的注明都检查,可是唯有SYN相配。第贰个象征ALL(SYN,ACK,FIN,福特ExplorerST,ULANDG,PSH)的注脚都检查,不过唯有设置了SYN和ACK的万分。
#iptables -A FORWARD -p tcp –syn
选项—syn相当于”–tcp-flags SYN,RST,ACK SYN”的简写。
3、limit速率相称扩大。
1)钦命单位时间内允许通过的数额包个数,单位时间能够是/second、/minute、/hour、/day或接纳第叁个子母。
#iptables -A INPUT -m limit –limit 300/hour
2 )钦赐触发事件的阀值。
#iptables -A INPUT -m limit –limit-burst 10
用来比对一回同期涌入的封包是还是不是超过十个,超过此上限的包将直接丢掉。
3)同期钦定速率限制和触发阀值。
#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3
意味着每分钟允许的最大包数量为限制速率(本例为3)加上圈套前的触发阀值burst数。任何情形下,都可确认保障3个数据包通过,触发阀值burst相当于允许额外的包数量。
4)基于状态的相称扩张(连接追踪)
每一种网络连接包蕴以下新闻:源地址、指标地点、源端口、目标端口,称为套接字对(socket
pairs);协议项目、连接景况(TCP协议)
和过期时间等。防火墙把这个信息称为状态(stateful)。状态包过滤防火墙能在内部存款和储蓄器中怜惜二个追踪状态的表,比轻巧包过滤防火墙具有越来越大的安全性,命令格式如下:
iptables -m state –-state [!]state [,state,state,state]
当中,state表是三个逗号分割的列表,用来钦点连接情形,4种:
>NEW: 该包想要开始三个新的连天(重新连接或三回九转重定向)
>RELATED:该包是属于有个别已经创设的接连所树立的新连接。比方:
FTP的数额传输连接和操纵连接之间就是RELATED关系。
>ESTABLISHED:该包属于有些已经确立的接连。
>INVALID:该包不相称于任何连接,平时这个包被DROP。
例如:
(1)在INPUT链增多一条规则,相配已经建立的接连或由曾经成立的连接所建构的新连接。即相称全部的TCP回应包。
#iptables -A INPUT -m state –state RELATED,ESTABLISHED
(2)在INPUT链链增加一条规则,相称全数从非eth0接口来的接连央求包。
#iptables -A INPUT -m state -–state NEW -i !eth0
又如,对于ftp连接能够行使上面的连天追踪:
(1)被动(Passive)ftp连接形式。
#iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –-state
ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m
state -–state ESTABLISHED,RELATED -j ACCEPT
(2)主动(Active)ftp连接格局
#iptables -A INNPUT -p tcp –sport 20 -m state –-state
ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state –state
ESTABLISHED -j ACCEPT

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全数iptables以序号标记显示,实行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全部iptables以序号标志彰显,试行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全体iptables以序号标志展现,推行: iptables -L –

来自:

【澳门凯旋门注册网址】linux 防火墙iptables。Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — *【澳门凯旋门注册网址】linux 防火墙iptables。 lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全体iptables以序号标识显示,实行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已加多的iptables规则
将全数iptables以序号标志呈现,实践: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全数iptables以序号标识彰显,施行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全数iptables以序号标志展现,推行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已加多的iptables规则
将全体iptables以序号标志展现,实行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全数iptables以序号标志展现,施行: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已加多的iptables规则
将全数iptables以序号标识突显,实施: iptables -L –

来自:

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全部ipt

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增多的iptables规则
将全体iptables以序号标识显示,施行: iptables -L –

来自:

iptables(选项)(参数) 选项 -t<表>:钦赐要调整的表;
-A:向规则链中增添条款; -D:从规则链中删除条约;
-i:向规则链中插入条约; -Tucson:替换规则链中的条条框框;
-L:突显规则链中已部分条约; -F:清楚规则链中已有个别条目;
-Z:清空规则链中的数据包总括器和字节计数器;
-N:成立新的用户自定义规则链; -P:定义规则链中的暗中同意目的;
-h:显示协助音讯; -p:内定要合营的数码中国包装技协议项目;
-s:钦赐要合营的数额包源ip地址; -j<指标>:钦定要跳转的指标;
-i<网络接口>:钦定数量包进去本机的互联网接口;
-o<互连网接口>:内定数量包要离开本机所接纳的互连网接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/大切诺基> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 目的IP/指标子网> –dport 指标端口 -j 动作 表名包含:
raw:高档效率,如:网站过滤。
mangle:数据包修改(QOS),用于落实劳务品质。
net:地址转变,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包蕴: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
PO凯雷德WA普拉多D链:管理转载数据包。 PREROUTING链:用于目的地址转变(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。 动作包含: accept:接收数据包。
DROP:放任数据包。 REDIRECT:重定向、映射、透南齐理。 SNAT:源地址调换。
DNAT:指标地址转换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放内定的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地点回环接口(即运转本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已建构的或有关连的畅通
iptables -A OUTPUT -j ACCEPT #同意全部本机向外的造访 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #同意访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#取缔任何未同意的条条框框访问 iptables -A FO福特ExplorerWA昂科威D -j REJECT
#明确命令禁止任何未同意的条条框框访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的授命 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的下令 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的授命是 查看已增加的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全部iptables以序号标识显示,实施: iptables -L -n –line-numbers
比方要刨除INPUT里序号为8的条条框框,试行: iptables -D INPUT 8

来自:

iptables(选项)(参数) 选项 -t<表>:内定要调控的表;
-A:向规则链中加多条约; -D:从规则链中删除条约;
-i:向规则链中插入条款; -Odyssey:替换规则链中的条目;
-L:展现规则链中已有个别条目; -F:清楚规则链中已有个别条约;
-Z:清空规则链中的数据包总括器和字节计数器;
-N:创造新的用户自定义规则链; -P:定义规则链中的默许目的;
-h:彰显帮助消息; -p:钦赐要合营的数码中国包装技协议项目;
-s:内定要同盟的数额包源ip地址; -j<指标>:钦点要跳转的指标;
-i<网络接口>:钦命数量包进去本机的网络接口;
-o<互连网接口>:钦赐数量包要离开本机所采纳的网络接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/Odyssey> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 目的IP/指标子网> –dport 目的端口 -j 动作 表名包蕴:
raw:高等效率,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处服务品质。
net:地址调换,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包涵: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
POLANDWA宝马X3D链:管理转载数据包。 PREROUTING链:用于指标地方转变(DNAT)。
POSTOUTING链:用于源地址转变(SNAT)。 动作包括: accept:接收数据包。
DROP:舍弃数据包。 REDIRECT:重定向、映射、透西夏理。 SNAT:源地址转变。
DNAT:目的地址转换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦命的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地方回环接口(即运维本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已创设的或有关连的畅通
iptables -A OUTPUT -j ACCEPT #同意持有本机向外的造访 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#取缔任何未同意的条条框框访问 iptables -A FOGL450WALX570D -j REJECT
#不准任何未同意的条条框框访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的通令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的一声令下 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的通令是 查看已增添的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全部iptables以序号标识呈现,试行: iptables -L -n –line-numbers
举例要刨除INPUT里序号为8的平整,推行: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一局地。能够直接配备,也足以经过重重前端和图形界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:钦定要调整的表;
-A:向规则链中增多条约; -D:从规则链中删除条约;
-i:向规则链中插入条目款项; -中华V:替换规则链中的条文;
-L:突显规则链中已有个别条约; -F:清楚规则链中已有的条约;
-Z:清空规则链中的数码包计算器和字节计数器;
-N:创立新的用户自定义规则链; -P:定义规则链中的暗中同意目的;
-h:展现帮助音信; -p:钦赐要合营的多寡中国包装技协议项目;
-s:钦点要协作的数据包源ip地址; -j<目的>:钦赐要跳转的对象;
-i<互联网接口>:内定数量包进去本机的网络接口;
-o<互连网接口>:内定数量包要离开本机所采用的网络接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/昂科威> 规则链名
[【澳门凯旋门注册网址】linux 防火墙iptables。规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 目的IP/目的子网> –dport 目标端口 -j 动作 表名蕴含:
raw:高等成效,如:网站过滤。
mangle:数据包修改(QOS),用于落实服务品质。
net:地址转变,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包罗: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
POHavalWAEscortD链:管理转载数据包。 PREROUTING链:用于指标地址调换(DNAT)。
POSTOUTING链:用于源地址调换(SNAT)。 动作包罗: accept:接收数据包。
DROP:扬弃数据包。 REDIRECT:重定向、映射、透宋朝理。 SNAT:源地址转变。
DNAT:目的地址调换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦命的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地点回环接口(即运营本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #同意已构建的或有关连的交通
iptables -A OUTPUT -j ACCEPT #允许全数本机向外的访问 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #同意访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #允许访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#禁绝别的未同意的规则访问 iptables -A FO大切诺基WACRUISERD -j REJECT
#取缔别的未同意的规则访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #遮掩单个IP的指令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的吩咐 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的指令是 查看已增添的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全部iptables以序号标志呈现,实践: iptables -L -n –line-numbers
比如要删减INPUT里序号为8的规则,施行: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一部分。可以直接配置,也能够透过众多前端和图形分界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:钦赐要调节的表;
-A:向规则链中加多条目款项; -D:从规则链中删除条款;
-i:向规则链中插入条款; -凯雷德:替换规则链中的条目款项;
-L:呈现规则链中已有的条目; -F:清楚规则链中已部分条目款项;
-Z:清空规则链中的数目包总括器和字节计数器;
-N:创制新的用户自定义规则链; -P:定义规则链中的暗中同意目的;
-h:突显帮忙音信; -p:内定要合营的多少中国包装技协议项目;
-s:内定要同盟的多寡包源ip地址; -j<指标>:内定要跳转的对象;
-i<网络接口>:内定数量包进去本机的网络接口;
-o<互连网接口>:钦命数量包要离开本机所使用的互连网接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/君越> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 指标IP/指标子网> –dport 指标端口 -j 动作 表名包罗:
raw:高档功效,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处服务质量。
net:地址调换,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包涵: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
POPAJEROWA途胜D链:管理转载数据包。 PREROUTING链:用于指标地址转变(DNAT)。
POSTOUTING链:用于源地址调换(SNAT)。 动作包含: accept:接收数据包。
DROP:抛弃数据包。 REDIRECT:重定向、映射、透孙吴理。 SNAT:源地址转变。
DNAT:指标地址转变。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦点的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地点回环接口(即运转本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已确立的或有关连的交通
iptables -A OUTPUT -j ACCEPT #同意持有本机向外的访问 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#禁绝任何未同意的条条框框访问 iptables -A FO揽胜WALX570D -j REJECT
#禁止任何未同意的条条框框访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的一声令下 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的指令 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的一声令下是 查看已增加的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增添的iptables规则
将全数iptables以序号标志突显,推行: iptables -L -n –line-numbers
比方要删减INPUT里序号为8的条条框框,试行: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一有个别。能够直接配置,也能够透过广大前端和图形界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:内定要调整的表;
-A:向规则链中增添条约; -D:从规则链中删除条约;
-i:向规则链中插入条目款项; -ENVISION:替换规则链中的条规;
-L:展现规则链中已有的条约; -F:清楚规则链中已部分条约;
-Z:清空规则链中的数据包总括器和字节计数器;
-N:创造新的用户自定义规则链; -P:定义规则链中的私下认可目的;
-h:展现扶助音讯; -p:内定要合营的数码包协议项目;
-s:钦定要协作的数额包源ip地址; -j<指标>:钦赐要跳转的对象;
-i<互联网接口>:钦赐数量包进去本机的网络接口;
-o<网络接口>:钦点数量包要离开本机所利用的网络接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/凯雷德> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 指标IP/指标子网> –dport 目的端口 -j 动作 表名包蕴:
raw:高档作用,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处劳务质量。
net:地址转换,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包涵: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
PO兰德本田CR-VWA福特ExplorerD链:管理转载数据包。 PREROUTING链:用于指标地址转变(DNAT)。
POSTOUTING链:用于源地址调换(SNAT)。 动作包涵: accept:接收数据包。
DROP:抛弃数据包。 REDIRECT:重定向、映射、透西汉理。 SNAT:源地址调换。
DNAT:指标地址调换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦命的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地点回环接口(即运转本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已确立的或有关连的直通
iptables -A OUTPUT -j ACCEPT #同意持有本机向外的拜访 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#明确命令禁止任何未同意的条条框框访问 iptables -A FO昂科雷WA奥迪Q5D -j REJECT
#取缔任何未同意的条条框框访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的授命 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的下令 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的授命是 查看已加多的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已加多的iptables规则
将全数iptables以序号标识展现,推行: iptables -L -n –line-numbers
比方要刨除INPUT里序号为8的条条框框,实践: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一有个别。能够一向配备,也足以经过重重前端和图形分界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:钦赐要调控的表;
-A:向规则链中增多条款; -D:从规则链中删除条约;
-i:向规则链中插入条约; -PAJERO:替换规则链中的条目款项;
-L:展现规则链中已有个别条目; -F:清楚规则链中已有的条约;
-Z:清空规则链中的数额包总结器和字节计数器;
-N:创造新的用户自定义规则链; -P:定义规则链中的暗许目的;
-h:呈现帮忙消息; -p:钦命要同盟的数据中国包装技协议项目;
-s:钦赐要合营的数量包源ip地址; -j<目的>:内定要跳转的靶子;
-i<互连网接口>:钦定数量包进去本机的互连网接口;
-o<互联网接口>:钦定数量包要离开本机所利用的互连网接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/哈弗> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 指标IP/指标子网> –dport 目标端口 -j 动作 表名包含:
raw:高等功效,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处服务品质。
net:地址转变,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包罗: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
POOdysseyWAENVISIOND链:管理转载数据包。 PREROUTING链:用于目的地点调换(DNAT)。
POSTOUTING链:用于源地址调换(SNAT)。 动作包蕴: accept:接收数据包。
DROP:放弃数据包。 REDIRECT:重定向、映射、透金朝理。 SNAT:源地址转变。
DNAT:目的地址调换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦定的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #同意地点回环接口(即运转本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #同意已创建的或有关连的交通
iptables -A OUTPUT -j ACCEPT #允许具备本机向外的访问 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #同意访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #允许访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#不准别的未同意的平整访问 iptables -A FO君越WALacrosseD -j REJECT
#取缔其余未同意的平整访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #遮掩单个IP的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的授命 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是 查看已加多的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增加的iptables规则
将全体iptables以序号标志呈现,实施: iptables -L -n –line-numbers
举个例子要去除INPUT里序号为8的规则,试行: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一有些。能够间接配置,也得以通过众多前端和图形分界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:钦赐要调控的表;
-A:向规则链中加多条目款项; -D:从规则链中删除条约;
-i:向规则链中插入条目款项; -XC90:替换规则链中的条规;
-L:显示规则链中已部分条目款项; -F:清楚规则链中已某个条目;
-Z:清空规则链中的数量包总括器和字节计数器;
-N:成立新的用户自定义规则链; -P:定义规则链中的默许指标;
-h:展现扶助消息; -p:钦定要合作的数额中国包装技协议项目;
-s:钦命要合营的多少包源ip地址; -j<目的>:钦命要跳转的目的;
-i<网络接口>:钦命数量包进去本机的网络接口;
-o<网络接口>:钦点数量包要离开本机所利用的互连网接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/凯雷德> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 指标IP/目的子网> –dport 目的端口 -j 动作 表名包涵:
raw:高等功效,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处劳务品质。
net:地址调换,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包括: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
PO大切诺基WA昂科拉D链:管理转载数据包。 PREROUTING链:用于指标地址转变(DNAT)。
POSTOUTING链:用于源地址调换(SNAT)。 动作包涵: accept:接收数据包。
DROP:遗弃数据包。 REDIRECT:重定向、映射、透南宋理。 SNAT:源地址转变。
DNAT:指标地方调换。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦赐的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #允许地点回环接口(即运维本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已建构的或相关连的交通
iptables -A OUTPUT -j ACCEPT #同意全部本机向外的访问 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#不准任何未同意的规则访问 iptables -A FO揽胜极光WAENCORED -j REJECT
#禁绝其余未同意的平整访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的下令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的通令 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的下令是 查看已加多的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增多的iptables规则
将全部iptables以序号标识突显,推行: iptables -L -n –line-numbers
举例要删减INPUT里序号为8的条条框框,奉行: iptables -D INPUT 8

来自:

ptables命令是Linux上常用的防火墙软件,是netfilter项指标一片段。能够一向配备,也能够透过广大前端和图形分界面配置。
语法 iptables(选项)(参数) 选项 -t<表>:钦点要调节的表;
-A:向规则链中增添条款; -D:从规则链中删除条目款项;
-i:向规则链中插入条目款项; -凯雷德:替换规则链中的条条框框;
-L:展现规则链中已有的条目款项; -F:清楚规则链中已部分条约;
-Z:清空规则链中的数量包计算器和字节计数器;
-N:创设新的用户自定义规则链; -P:定义规则链中的暗中同意指标;
-h:展现协助音信; -p:钦点要合作的数额中国包装技协议项目;
-s:钦命要协作的多少包源ip地址; -j<指标>:钦定要跳转的对象;
-i<互联网接口>:内定数量包进去本机的互连网接口;
-o<网络接口>:内定数量包要离开本机所选择的网络接口。
iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/科雷傲> 规则链名
[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport
源端口 <-d 目的IP/指标子网> –dport 指标端口 -j 动作 表名包蕴:
raw:高档功能,如:网站过滤。
mangle:数据包修改(QOS),用于落到实处劳务品质。
net:地址调换,用于网关路由器。 filter:包过滤,用于防火墙规则。
规则链名包涵: INPUT链:管理输入数据包。 OUTPUT链:管理输出数据包。
POENVISIONWALacrosseD链:管理转发数据包。 PREROUTING链:用于目的地方调换(DNAT)。
POSTOUTING链:用于源地址转变(SNAT)。 动作蕴涵: accept:接收数据包。
DROP:舍弃数据包。 REDIRECT:重定向、映射、透南宋理。 SNAT:源地址调换。
DNAT:指标地方转变。 MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。 实例 清除已有iptables规则 iptables -F iptables -X
iptables -Z 开放钦命的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1
-j ACCEPT #允许地点回环接口(即运转本机访问本机) iptables -A INPUT -m
state –state ESTABLISHED,RELATED -j ACCEPT #允许已成立的或有关连的直通
iptables -A OUTPUT -j ACCEPT #同意具有本机向外的拜访 iptables -A INPUT
-p tcp –dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp
–dport 80 -j ACCEPT #同意访问80端口 iptables -A INPUT -p tcp –dport
21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp –dport 20
-j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject
#明确命令禁止其它未同意的平整访问 iptables -A FO翼虎WARubiconD -j REJECT
#禁绝其它未同意的平整访问 屏蔽IP iptables -I INPUT -s 123.45.6.7 -j
DROP #屏蔽单个IP的下令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的通令 iptables -I INPUT -s
124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的下令是 查看已加多的iptables规则
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination 5075 589K ACCEPT
all — lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp — * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80 4364K 6351M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED 6256 327K ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot
opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets,
1819M bytes) pkts bytes target prot opt in out source destination 5075
589K ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0 删除已增多的iptables规则
将全体iptables以序号标志展现,实行: iptables -L -n –line-numbers
比方要去除INPUT里序号为8的平整,施行: iptables -D INPUT 8

来自:

相关文章