iptables 常用规则使用实例

最新推荐文章于 2023-10-30 14:54:07 发布
转载 最新推荐文章于 2023-10-30 14:54:07 发布 · 259 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.linuxprobe.com/?p=212512

本文提供了iptables的一些实用规则,包括清空规则、设置默认策略、阻止指定IP、允许SSH连接等,并介绍了如何预防DDoS攻击。
导读在本文中列出了一些实用的iptables规则,可以参考。

1、清空数据包流量、清空链、清空规则

使用下面几个命令可以清空iptables表:

# 使用-t选项选择哪个表,表有filter, nat , mangle三个表
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z

-F清空所有链的规则,-X删除自定义的链,-Z清空数据包流量。

2、设置默认策略

默认链策略是ACCEPT。对于所有INPUT,FORWARD和OUTPUT链,将其更改为DROP,如下所示:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARDING DROP

将INPUT和OUTPUT链的默认策略都设置为DROP时,对每个防火墙规则要求,都应定义两个规则,一个用于INPUT,一个用于OUTPUT。

如果信任内部用户,则可以省略上面的OUTPUT。即默认情况下不丢弃所有OUTPUT数据包。在这种情况下,对于拥有的每个防火墙规则要求,只需定义一个规则即可。即只为INPUT定义规则,因为所有数据包的传出都是ACCEPT。

3、阻止指定的IP地址进入

BLOCK_THIS_IP="x.x.x.x" iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP
或者
iptables -A INPUT -i ens160 -s "$BLOCK_THIS_IP" -j DROP
或者 iptables -A INPUT -i ens160 -p tcp -s "$BLOCK_THIS_IP" -j DROP

定义一个变量,值写入要阻止的ip地址。上面第一条规则的意思是从某个ip进入的流量拒绝掉。第二条规则是阻止某个ip地址从eth0进入的流量。第三条规则指的是拒绝某个ip地址从eth0进入访问tcp协议的流量。

4、允许外部用户ssh登录本机

以下规则允许ens160接口上的所有传入的ssh连接。

iptables -A INPUT -i ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

下面是允许指定网段的ip地址连接本机的ssh服务:

iptables -A INPUT -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5、允许本机使用ssh登录远程主机

以下规则允许传出ssh连接。当从内部ssh连接到外部服务器时可以使用:

iptables -A OUTPUT -o ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6、使用multiport模块,允许外部访问本机的80,443

下面使用multiport模块,可以减少写入规则条数。下面实例允许外部访问本机的http,https服务。

iptables -A INPUT -i ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

iptables 常用规则使用实例iptables 常用规则使用实例

7、允许本地访问外部的http,https服务

下面命令允许本机访问外面的http,https服务:

iptables -A OUTPUT -o ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

iptables 常用规则使用实例iptables 常用规则使用实例

8、允许外部ping本机

以下规则允许外部用户能够ping你的服务器:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables 常用规则使用实例iptables 常用规则使用实例

9、允许本机ping外部

以下规则允许从内部ping到任何外部服务器:

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables 常用规则使用实例iptables 常用规则使用实例

10、防DDOS攻击

下面规则将帮助你预防Web服务器上的拒绝服务(DoS)攻击:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  • -m limit:使用limit模块
  • --limit 25/minute:此限制每分钟最多25个连接。根据具体要求更改此值
  • --limit-burst 100:该值表示只有在连接总数达到limit-burst级别后,才执行limit 25/minute。

总结

在本文中列出了一些实用的iptables规则,可以参考。Linux就该这么学

Linux资源站
关注
25个iptables常用示例
周彰健的博客
11-26 353
格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 -d 匹配目标地址 -i 网卡名称 匹配从这块网卡流入的数据 -o 网卡名称 匹配从这块网卡流出的数据 -p 匹配协议,如tcp,u
Linux防火墙iptables规则设置
遇见J
06-20 372
iptables命令是Linux上常用防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置一、语法iptables(选项)(参数)二、选项-t<表>:指定要操纵的表; -A:向规则链中添加条目; -D:从规则链中删除条目; -i:向规则链中插入条目; -R:替换规则链中的条目;...
iptables命令实例
03-31
在介绍iptables之前,我们先来了解一下防火墙的相关知识: 防火墙存在于网络边界,通过预设规则对进出口路由进行检查的处理组件;防火墙分为包过滤防火墙和procy防火墙,(第二种称谓可能不太合适,欢迎大家来指点哦),第一种防火墙的工作速度比较快,但只能检查到第三层的内容,而procy则可以检查所有内容,目前来讲,在条件允许的情况下,我们通常是将两者结合起来使用,这样,既提高防火墙的工作效率又可对所有内容进行检查,是一种完美的方法。   内核分为内核空间和用户空间,两者之间通常是不能相互通信的,若要相互访问,要通过调用来实现,在内核中,tcp/ip 选择了五个点,调用钩子函数,当数据包通过时将相关项“勾上去”。数据包是必须要经过这五个点中的某几个点的.
20条IPTables防火墙规则用法!
weixin_33978044的博客
07-05 323
导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击。很多用户把 Linux 中的 IPTables 当成一个防火墙,从严格意见上来说 IPTables 只是能够帮助管理员定义各种规则并与 Linux Kernel 进行沟通的一个命令行工具。它只是帮助管理员配置网络流量的传入、传出规则列表,具体的实现...
iptables使用示例
eighters的博客
10-30 376
iptables介绍及使用示例
iptables常用规则
weixin_33968104的博客
02-07 268
iptables组成:四张表+五条链+规则四张表:filter表,nat表,mangle表,raw表五条链:INPUTOUTPUTFORWARDPREROUTING(DNAT) POSTROUTING(SNAT)nat表:Nat表主要用于网络地址转换。根据表中的每一条规则修改网络包的IP地址。流中的包仅遍历一遍Nat表。例如,如果一个通过某个接口的包被修饰(...
linux防火墙iptables常用规则.docx
02-15
### Linux防火墙iptables常用规则详解 #### 一、iptables基础操作与配置 ##### 删除现有规则使用iptables之前,我们通常需要先清除已有的规则,以便于重新建立新的规则集。这可以通过`iptables -F`命令来实现。...
掌握iptables高级规则使用
iptables使用一系列规则来决定如何处理数据包。它包括允许、拒绝或转发数据包,这些规则是由用户定义的,并且按照特定顺序进行匹配。当数据包到达网络接口时,iptables会逐条应用规则,直到找到匹配的规则。 ## 1.3...
iptables规则的用法
woody_0011的博客
12-11 555
1、基本语法: iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]其中,表名,链名用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表; 管理选项表示iptables规则的操作方式,如插入,增加,删除,查看等; 匹配条件用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理; 控制类型指的是数据包的处理方式,如允许
iptables常用的一些规则
linuxkai
11-02 1443
#入站规则:ESTABLISHED,RELATED状态允许通过 #ESTABLISHED:已经建立的连接 #RELATED:正在启动新连接,本机主动建立的连接 -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消
iptables防火墙常用规则
djs的博客
03-04 269
iptables常用规则列表
cl2516的博客
05-20 302
常用命令列表:命令 -A, --append范例 iptables -A INPUT ...说明 新增规则到某个规则炼中,该规则将会成为规则炼中的最后一条规则。命令 -D, --delete范例 iptables -D INPU...
iptables 使用
weixin_34345560的博客
04-19 477
原文链接 本文介绍25个常用iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认策略 ipta...
iptables 常用例子总结
余子越的博客
03-10 2090
本文转至 余子越的博客 ,文章 iptables 常用例子总结,欢迎访问yuchaoshui.com 了解更多信息! 一、基本原理总结 1. 常用的几个链 2. 常用的几个表 3. 常用的几个处理动作 4. 常用检查模式 5. 开启转发配置 二、本机端口到本机端口重定向 1. 场景还原 2. 细节实现 三、公网 IP 到 本地局域网的 IP 映射 1. 场景还原 2. 细节...
iptables规则总结
weixin_53139887的博客
01-10 5785
五链四表 链的概念 iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链” 其中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTI
iptables常用选项
最新发布
03-04
### iptables 常用选项及参数说明 #### 安装与服务管理 对于基于 Red Hat 的系统,可以通过如下命令安装 `iptables` 服务: ```bash yum install -y iptables-services.x86_64[^1] ``` 而对于 Debian 或 Ubuntu 系统,则应使用 apt-get 来完成相同的操作: ```bash apt-get update && apt-get install -y iptables-services[^2] ``` #### 表(Table)的选择 iptables 中有多个表可供选择,每张表负责处理不同类型的规则集。常用的表格包括: - **filter**: 默认使用的表,主要用于包过滤操作。 - **nat**: 处理网络地址转换(NAT),适用于修改数据包包头中的IP地址或端口信息。 - **mangle**: 对特定的数据包进行标记或其他更改。 指定要操作的表可通过 `-t` 参数实现,默认情况下会自动选用 filter 表。 #### 链(Chain)的概念 iptables 使用三种主要链来决定如何处理传入(`INPUT`)、传出(`OUTPUT`) 和 转发 (`FORWARD`) 数据流[^3]。 #### 规则(Rule)添加与删除 向某个链中增加新规则可利用 `-A`(追加到末尾) 或者 `-I`(插入至开头) 参数;移除已有规则则需借助于 `-D` 参数。例如,在 INPUT 链里加入一条允许 HTTP 流量进入的新规: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` 此指令表示接受目标端口为 80 (HTTP 协议默认端口) 的 TCP 连接请求。 #### 查看现有规则列表 为了查看当前生效的所有规则,可以运行不带任何额外参数的 `iptables -L` 命令。如果想要获取更详细的输出,比如包含计数器在内的完整信息,则应该加上 `-v` 标记并指明具体的表名(如 `-t nat`)。 #### 清空所有规则 当需要清除某条链上的全部规则时,可以用 `-F` 参数清空之。而要想彻底重置整个系统的防火墙设置回到初始状态,则应当依次对各个表下的各条链执行这一动作。 #### 日志记录(Logging) 为了让某些符合条件的数据包被记录下来以便后续分析,可以在相应位置插入带有 LOG 功能的动作项。这通常作为其他最终决策之前的一个步骤存在,像这样: ```bash iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "IPTables-Dropped: " ``` 上述例子设置了限速机制防止日志文件过载,并给每条日志附加了一个易于识别前缀字符串。 #### NAT 操作 针对 SNAT/DNAT 类型的任务,必须切换到 nat 表下进行配置。下面的例子展示了怎样把来自内部网卡 eth1 上发送出去的数据包源 IP 修改成公网接口 eno1 所持有的地址: ```bash iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值