Iptables整理

最新推荐文章于 2023-04-23 16:36:01 发布
原创 最新推荐文章于 2023-04-23 16:36:01 发布 · 470 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables 

#总汇代码:
iptables -t filter -A{I,D} INPUT{OUTPUT,FORWARD} {n} -p tcp{udp,icmp} {!} -s 192.168.1.0/24 \
--sport m:n --dport x:y -j ACCEPT{DORP,REJECT,LOG}

#查看iptables规则(-n显示ip,--line显示行号):
[root@localhost ~]# iptables -L -n --line-number

#删除指定规则:
[root@localhost ~]# iptables -D INPUT 2      #删除INPUT第2条规则

#清除所有已经存在的规则;
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -X
[root@localhost ~]# iptables -Z

#拒绝所有数据:
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -P FORWARD DROP
[root@localhost ~]# iptables -P OUTPUT DROP

只允许某端口访问:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT 

只允许某IP访问:
1.先拒绝所有
2.iptables -A INPUT -p tcp -s 192.168.33.254 -j ACCEPT
3.iptables -A OUTPUT -p tcp -d 192.168.33.255 -j ACCEPT

拒绝指定ip访问服务器:
iptables -A INPUT -p tcp -s 192.168.33.254 -j DROP

过滤无效数据包:
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

目标地址192.168.0.3的访问给予记录,并查看/var/log/message
iptables -A INPUT -s 192.168.0.3 -j LOG

拒绝192.168.0.0/24网段的1024-65534的源端口访问SSH
iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --sport 1024:65534 --dport ssh -j DROP

开放本机的lo可以自由访问
iptables -A INPUT -i lo -j ACCEPT

设定有相关的封包状态可以进入本机
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP

将目标计算机的MAC设为ACCEPT
iptables -A INPUT -m mac --mac-source 00-C0-9F-79-E1-8A -j ACCEPT

设定ICMP包,状态为8的被DROP掉
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP

重置ip_forward为1
echo "1" > /proc/sys/net/ipv4/ip_forward

通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去
iptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADE

通过DNAT设定为所有访问192.168.6.21722端口,都访问到192.168.6.19122端口
iptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp --dport 22 -j DNAT --to-destination 192.168.6.191:22

设定所有到192.168.6.19122端口的数据包都通过FORWARD转发
iptables -A FORWARD -p tcp -d 192.168.6.191 --dport 22 -j ACCEPT

设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常
iptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE

使得只有192.168.0.x 和192.168.0.y 的机器可以连接您的pop3服务器。但同一网段的其他人不行。
iptables -A INPUT -s ! 192.168.18.30 -p tcp --dport 110 -d 192.168.18.70 -j DROP
iptables -A INPUT -s ! 192.168.18.31 -p tcp --dport 110 -d 192.168.18.70 -j DROP

只允许某2人即两台主机可以telnet 你,例如其中一台为192.168.0.123,192.168.0.124
iptables -A INPUT -s 192.168.0.123 -p tcp --dport 23 -d 192.168.18.70 -j ACCEPT
iptables -A INPUT -s 192.168.0.124 -p tcp --dport 23 -d 192.168.18.70 -j ACCEPT
iptables -A INPUT -d 192.168.18.70 -p tcp  --dport 23 -j REJECT

允许某2人每秒钟ping你1次
iptables -A INPUT -s 192.168.18.30 -p icmp --icmp-type 8 -m limit --limit 1/m -j ACCEPT
iptables -A INPUT -s 192.168.18.31 -p icmp --icmp-type 8 -m limit --limit 1/m -j ACCEPT

允许您主动访问任何人
iptables -A OUTPUT -p tcp --tcp-flags SYN,ACK,RST SYN -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,RST SYN -j REJECT

Test01 用户可以使用自己的ip地址作测试用途,但不能访问其他的任何ip
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -P OUTPUT REJECT

Test02 用户可以访问任意地址
iptables -A INPUT -s Test02 -j ACCEPT
iptables -P INPUT REJECT

定义一个自定义规则,对所有访问您23端口的动作进行日志
iptables -A INPUT --dport 23 -j LOG 

通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去
iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth1 -j MASQUERADE

通过DNAT设定为所有访问192.168.6.21722端口,都访问到192.168.6.19122端口
iptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp --dport 22 -j DNAT --to-destination 192.168.6.191:22

设定所有到192.168.6.19122端口的数据包都通过FORWARD转发
iptables -A FORWARD -p tcp -d 192.168.6.191 --dport 22 -j ACCEPT

设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常
iptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE






设置允许进入eth0网卡的UDP协议包,并是来自1025以上端口,目的地址为192.168.33.1
iptables -A INPUT -i eth0 -p udp --sport(源端口) 1025: -d 192.168.33.1 -j ACCEPT
/etc/init.d/iptables save
service iptables restart

端口转发:
将本机的7088端口转发至其他主机
主机IP:1.1.1.1
目标主机IP和端口:2.2.2.2:1521

方法
iptables -t nat -A PREROUTING -p tcp -m tcp --dport(目的端口) 7088 -j DNAT --to-destination 2.2.2.2:1521    #进之前
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 1521 -j SNAT --to-source 1.1.1.1    #出

service iptables save
service iptables restart

禁止PING:
iptables -A INPUT -p icmp -s 进入IP或网段 -d 本机IP -j DROP

只允许来自192.168.44.0/24网段用户ping服务器
iptables -A INPUT -j DROP
iptables -A INPUT -p(类型)icmp(icmp,udp,tcp,all) -s(源地址) 192.168.44.0/24 -d 192.168.33.1(目的地址) -j ACCEPT
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 7578
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux防火墙学习笔记7
CCH2024的专栏
06-12 461
Linux防火墙学习笔记
iptables设置只能本机访问3306端口
buzaiQQ的专栏
09-21 9689
1、iptables -A INPUT -p tcp --dport 3306 -s 192.168.0.2 -d 192.168.0.2 -j ACCEPT -s 源机器 -d 目标机器 2、iptables -A INPUT -p tcp --dport 3306 -j DROP 这里表示只能本机访问 注意:2一定在所有规则最后执行,因为iptables是按顺序判断的,前面让请求通过后
linux 修改防火墙配置
bayonet1999的博客
09-17 1643
1.首先介绍一下指令和相关配置文件 启动指令:service iptables start    重启指令:service iptables restart    关闭指令:service iptables stop       然后是相关配置:/etc/sysconfig/iptables    如何操作该配置呢?    vim /etc/sysconfig/iptable
iptables命令整理
10-24
文档包含了iptables命令使用的一些例子,如NAT、端口重定向、访问控制等
洞悉linux下的Netfilter&iptables;整理
08-27
洞悉linux下的Netfilter&iptables; 内核中的ip_tables小觑、内核中的rule,match和target、包过滤子系统iptable_filter、如何理解连接跟踪机制、状态防火墙、DNAT、SNAT、iptables命令行工具源码解析
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理).docx
iptables完整资料整理指南
iptables是Linux内核中的一个用户空间应用程序,它用于管理防火墙规则,即所谓的防火墙规则表。...以上就是关于iptables的基本知识点整理,掌握这些信息可以为进一步深入学习和应用iptables打下坚实的基础。
Iptables原理[整理].pdf
10-11
Iptables原理[整理].pdf
Linux防火墙iptables的启动与关闭
bitterliquor的专栏
04-21 4万+
CentOS7 [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 1.关闭firewall [root@localhost ~]# systemctl stop firewalld.service            //停止firewall [root@localhos
iptables常用配置
kwame211的博客
05-13 5718
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save > iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
Linux下iptables 禁止端口和开放端口
热门推荐
海涛的博客
12-23 22万+
iptables 禁止端口和开放端口(转载) 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,只是临...
iptables只允许指定ip访问本机的指定端口
12-13 708
限制ip,要提高警惕,以免把自己给挡在防火墙外面了。 转载请注明出处:雨剑电脑http://www.expert58.com 只允许指定的ip访问本机的指定端口1521: 允许的的ip:192.168.1.123, 192.168.1.124, 192.168.1.100,其他ip都禁止访问。 切换到root用户 1、在tcp协议中,禁止所有的ip访问本机的1521端口。 ...
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5795
本文介绍Linux的iptables命令的用法。
关于ubuntu系统作为TCP客户端建立三次握手时,收到服务器发送的SYN/ACK报文时,自动回复RST报文中断握手问题。
m0_60004752的博客
04-23 624
关于ubuntu系统作为TCP客户端建立三次握手时,收到服务器发送的SYN/ACK报文时,自动回复RST报文中断握手问题。
设置防火墙规则,防止因为TCP第三次握手,系统自动返回包
墨痕诉清风的博客
02-25 1762
增加 iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP 删除 iptables -DOUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP
小白日记10:kali渗透测试之端口扫描-UDP、TCP、僵尸扫描、隐蔽扫描
ZiXuanFY的博客
09-11 7520
端口扫描 二三四层发现的目的只是为了准确发现所有活着主机IP,确定攻击面,端口扫描即发现攻击点,发现开放端口。端口对应网络服务及应用端程序,服务端程序的漏洞通过端口攻入。【所有的扫描结果,都不要完全相信】 一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行扫描。在手工进行扫
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值