IPTABLES常规操作规则与放行

最新推荐文章于 2025-04-12 10:13:12 发布
最新推荐文章于 2025-04-12 10:13:12 发布
阅读量6.1k 收藏 18
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 运维实用小项目 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/APPLEaaq/article/details/109297180

iptables

iptables [-t 表 ] -L -n

查看一张表上的规则

iptables [-t 表 ] -F     清空所有规则

iptables  -P   链  动作      设置某个链的默认规则

添加iptables规则

iptables [-t 表]  -A  链    匹配的条件             -j      动作
                  -I        -p       协议                 ACCEPT    放行
                  -D        -s       源IP地址             DROP      丢弃
                  -L        -d       目的IP地址           REJECT    拒绝
                            --sport  源端口               DNAT  --to-destication    目的地址转换
                            --dport  目的端口             SNAT  --source            源地址转换

iptables -A INPUT -p tcp --dport 80 -j DROP

“堵” 策略,默认规则是“放行”,添加“堵”的规则

“通” 策略 默认规则是“拦截”,添加“放行”规则

示例
在INPUT链拦截80端口

iptables -A INPUT -p tcp --dport 80 -j DROP

在INPUT链放行3306端口

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

通过192.168.189.131访问81端口的放行

iptables -A INPUT -p tcp --dport 81 -d 192.168.189.131 -j ACCEPT

禁ping

iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp -j REJECT

在OUTPUT链添加放行源端口为22的请求

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

在OUTPUT链添加放行源IP为192.168.189.161的请求

iptables -I OUTPUT -s 192.168.189.161 -j ACCEPT

在OUTPUT链添加放行源端口为81的请求

iptables -A OUTPUT -p tcp --sport 81 -j ACCEPT

目的地址转换
将访问192.168.189.161 端口为2222的请求转发至10.30.0.128的22端口

iptables -t nat -A PREROUTING -p tcp  -d 192.168.189.161 --dport 2222 -j DNAT --to-destination 10.30.0.128:22

源地址转换,所有来自于10.30.0.0/24网段的请求源地址转换为192.168.189.161

iptables -t nat -A POSTROUTING -p tcp  -s 10.30.0.0/24  -j SNAT --to-source 192.168.189.161
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2450
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换) SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 1080
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
centos防火墙(放行端口,封锁端口,放行ip,封锁ip)脚本编写
weixin_45697361的博客
10-25 851
**vim aa.sh** **#!/bin/bash echo "1)放行端口 2)封锁端口 3)放行ip 4)封锁ip" AWK(){ while true do read -ep "是否继续输入(y/n)|(Y/N)?:" yn if [ $yn == n ]||[ $yn == N ];then exit elif [ $yn ==...
Linux(Debian11iptables放行所有端口
热门推荐
weixin_44071721的博客
09-25 1万+
iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
iptables 使用详解
最新发布
Jason_florg的博客
04-12 588
android iptable使用
使用iptable实现: 放行telnet, ftp, web服务,放行samba服务,其他端口服务全部拒绝
liaowunonghen的专栏
03-16 755
ipables 端口访问设置 iptables -A INPUT -p tcp -s 0/0 --dport 23 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT iptables -A INPUT -p tcp -...
c7 通过iptables放行部分端口
qq_30381077的博客
11-13 341
【代码】c7 通过iptables放行部分端口。
iptables 针对网段/某段IP 操作
大西瓜的博客
07-12 1万+
iptables 针对网段/某段IP 操作 1、禁用某网段(-p后也可以是udp 也可以是all) iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 2、禁用某网段的22端口 iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP 3、禁用192.168.116.1~192.168.116.20 IP段的 22 端口 iptables -I INPUT -m iprange -
第七章 使用iptablesfirewalld防火墙
u012616827的博客
11-18 954
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的 IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量。
iptables防火墙
qingqui_的博客
02-21 1667
目录 一,iptables 1.防火墙 2.netfilter,iptables的关系 3.iptables表,链结构 4.数据包过滤的匹配流程(数据包到达防火墙时) 二,编写防火墙规则 1.基本语法、控制类型 2.数据包的常见控制类型 3.添加、查看、删除规则等基本操作 4.设置默认策略 5.规则的匹配条件 三,SNATDNAT策略 1.SNAT策略 路由转发开启方式: SNAT转换: 2.DNAT 扩展:iptables规则的备份还原 抓包 一,ipta
iptables放行范围端口
weixin_44071721的博客
10-10 8873
iptables -A INPUT -p tcp --dport 8080:9090 -j ACCEPT iptables -A OUTPUT -p tcp --sport 8080:9090 -j ACCEPT iptables-save
利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法
09-15
下面小编就为大家带来一篇利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Iptables
bjgaocp的博客
03-21 8029
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
iptables 配置文件中开放指定网段访问
weixin_35756373的博客
01-18 1390
可以使用 iptables 的 "-s" 参数指定允许访问的网段。例如,要允许 192.168.0.0/24 网段中的主机访问,可以使用以下命令: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT ...
iptables配置防火墙,设置IP通过
weixin_50822535的博客
04-21 2104
设置通过IP(假设IP为1.1.1.1)# 安装iptables-services。1.先检查是否安装了iptables。# 设置 iptables 开机启动。如果需要全新的规则可以删除之前的规则。设置远程22端口仅允许堡垒机访问。# 停止 firewalld。# 禁用 firewalld。如果没安装就进行安装进行。# 安装iptables。安装好了查看已有的规则。或者对已建立的链接放行
iptables 规则策略设置
weixin_33719619的博客
08-21 1241
Iptables一、防火墙基础知识1、防火墙是什么工作于主机或网络边缘,对于进出的定义的报文的规则做检查,进而对被规则匹配到的报文作为相应处理的套件2、防火墙的作用防火墙的作用主要是防***,防恶意***,有点类似于acl机制。主要针对服务器或者保护局域网中的主机。防火墙主要作用是不防病毒和***的,但是有一定的防护作用。3、防火墙的分类主机防火墙:工作在主机上的软件防火网络...
Linux之iptables打开所有进/出端口(一百三十二)
Android系统攻城狮
10-31 6833
【代码】Linux之iptables打开所有进/出端口。
linux防火墙只放行特定ip访问,Iptables 防火墙 只允许某IP访问某端口、访问特定网站...
weixin_35404745的博客
05-06 4526
Iptables 防火墙 只允许某IP访问某端口、访问特定网站#1. 先备份iptablescp /etc/sysconfig/iptables /var/tmp#需要开80端口,指定IP和局域网#下面三行的意思:#先关闭所有的80端口#开启ip段192.168.1.0/24端的80口#开启ip段211.123.16.123/24端ip段的80口iptables -I INPUT -p tcp -...
iptables自定义规则
03-08
### 创建和管理iptables自定义规则链 #### 创建自定义链 为了更好地管理和分类防火墙规则,可以通过`iptables`命令创建自定义链。例如,要创建名为`IN_WEB`的自定义输入链用于专门处理Web流量: ```bash sudo iptables -t filter -N IN_WEB ``` 此命令会在过滤表(`filter`)中新增一个叫做`IN_WEB`的链[^1]。 对于MySQL服务同样适用,通过下面指令建立专属于数据库连接请求筛选的链条: ```bash sudo iptables -t filter -N IN_MYSQL ``` 这使得特定应用相关的网络控制逻辑更加清晰明了[^2]。 #### 向自定义链添加规则 一旦有了自定义链之后,则可以在其中加入具体的匹配条件来决定允许还是拒绝数据包通行。比如向刚才新建好的`IN_MYSQL`链里增加一条仅限来自内部网络(假设为172.16.0.0/16)对TCP协议下3306端口发起访问请求的数据报文予以放行的规定: ```bash sudo iptables -t filter -I IN_MYSQL -p tcp -m tcp --dport 3306 -s 172.16.0.0/16 -j ACCEPT ``` 这里使用了`-I`参数表示插入新条目至指定位置,默认情况下会将其置于列表最前端;而`-j ACCEPT`意味着符合条件的数据流将被接受并继续传输下去。 #### 将自定义链关联到标准链上 为了让这些精心设计过的个性化规则生效,还需要把它们挂接到系统预设的标准路径上去。以HTTP(S)服务器为例,在常规入口处调用之前构建完成的那个`IN_WEB`链: ```bash sudo iptables -t filter -A INPUT -p tcp -m multiport --dports 80,443 -j IN_WEB ``` 上述语句表明凡是目标地址指向本地机器且目的端口号等于80或443(即HTTP/HTTPS常用端口)的所有TCP层面上的信息都将先经过`IN_WEB`这一级额外审查再作进一步处置[^5]。 #### 清除不再使用的自定义链 如果某个自定义链已经没有存在的必要——既无任何有效规则也未其他部分相连结的话,那么就可以考虑彻底移除了。执行如下命令可实现该功能: ```bash sudo iptables -X IN_WEB ``` 注意只有当所选对象确实为空闲状态时才能成功实施删除操作[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值