Iptables 常用设置命令

最新推荐文章于 2024-03-15 18:11:25 发布
最新推荐文章于 2024-03-15 18:11:25 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Linux 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lingeio/article/details/104062576
版权

1、iptables 规则基本格式

iptbales [-t table] COMMAND chain CRETIRIA -j ACTION

-t table:     3个: filter、nat、mangle
COMMAND:     定义如何对规则进行管理
chain:       指定规则是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:    指定匹配标准
-j ACTION:   指定如何进行处理:
                ACCEPT:允许通过
                LOG:记录日志信息,然后传给下一条规则继续匹配
                REJECT:拒绝通过,必要时会给出提示
                DROP:直接丢弃,不给出任何回应

2. iptables 基本参数

参数    	        作用
-L	        查看规则链
-F	        清空规则链
-P	        设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-A	        在规则链的末尾加入新规则
-I num	        在规则链的头部加入新规则
-D num	        删除某一条规则
-s	        匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d	        匹配目标地址
-i              网卡名称,匹配从该网卡流入的数据
-o              网卡名称,匹配从该网卡流出的数据
-p	        匹配协议,如tcp,udp,icmp
--dport    	目标端口号,即本机端口号
--sport    	来源端口号

2. 查看规则

iptables -nL
iptables -nL INPUT

3. 清除规则

# 清除所有规则
iptables -F

# 清除用户定义的规则
iptables -X

4. 配置规则

1. 

vim /etc/sysconfig/iptables

# 添加
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# 如:
# Generated by iptables-save v1.4.21 on Thu Feb 27 11:07:04 2020
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# 允许本机lo通信,lo: loopback device环回,本机发给本机的数据走虚拟设备通讯
-A INPUT -i lo -j ACCEPT

# 接收指定ip 开放所有端口
-A INPUT -s 10.0.0.2/32 -m conntrack --ctstate NEW -j ACCEPT

# 接收指定ip 发送到指定tcp端口的数据
# -m tcp 表示使用tcp扩展模块,--dport tcp扩展模块中的一个扩展条件,用于匹配目标端口
# !--dport 20 取反,取20以外端口,--dport 20:30 取20到30间所有端口
# 如常用条件:
# -p tcp -m tcp --sport
# -p tcp -m tcp --dport
-A INPUT -s 10.0.0.3/32 -p tcp -m conntrack --ctstate NEW -m tcp --dport 10050 -j ACCEPT

# 接收指定ip 通过指定的多个端口 发送到本机的数据
# -m multiport --dports 指定多个离散的端口,逗号分隔
# --dports不属于tcp扩展条件,而是属于multiport的扩展条件,使用--dports时,必须使用-m指定multiport扩展模块名称
# multiport扩展模块只能用于tcp及udp协议,所以必须配合 -p tcp/udp 使用
# 如常用条件:
# -p tcp -m multiport --sports
# -p udp -m multiport --dports
-A INPUT -s 10.0.0.4/32 -p tcp -m conntrack --ctstate NEW -m multiport --sports 3306,3307,3308 -j ACCEPT

# 对外开放多个指定tcp端口
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 8888,8889,10000 -j ACCEPT

# 对外开放tcp 22(ssh)端口
# -p 匹配的协议,-m 扩展模块的名称
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT

# 接收123 端口发送到本机的数据
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --sport 123 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --sport 123 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP

# output规则与input相同
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 10.0.0.2/32 -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -d 10.0.0.4/32 -p tcp -m conntrack --ctstate NEW -m multiport --dports 3306,3307,3308 -j ACCEPT
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --sports 8888,8889 -j ACCEPT
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --sports 80,443 -j ACCEPT
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 123 -j ACCEPT
-A OUTPUT -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j DROP
COMMIT

 

2.

iptables -I INPUT -p tcp --dport 25 -j ACCEPT

# 如
iptables -I INPUT -s 10.0.0.2 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -I INPUT -s 10.0.0.2 -p tcp -m tcp --dport 22:25 -j ACCEPT
iptables -I INPUT -s 10.0.0.3 -p tcp -m multiport --dports 3306,3308 -j ACCEPT
iptables -A OUTPUT -d 10.0.0.2 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -d 10.0.0.3 -p tcp -m multiport --dports 3306,3308 -j ACCEPT

 

5. 重启服务生效

systemctl restart iptables

 

iptables常用命令总结
yangyang3401的博客
06-08 1333
iptables 基本使用
linux防火墙iptables常用操作笔记
m0_62301431的博客
10-18 274
介绍 其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。 filter表 核心功能:用于主机防火墙 常用命令 iptables -nL --line-number #查看iptables规则(列序号) iptables -t filter -D INPUT 1 #通过序号删除链中的规则(或者原添加规则命令中直接-A/-I换成-D也可删除) #查看iptables默认
iptables命令选项以及参数配置
最新发布
weixin_44866492的博客
03-15 1330
添加规则,修改规则,删除规则,保存规则,开机自动读取。
iptables常用命令
热门推荐
sre救赎之路
04-14 1万+
iptables 是 Linux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
iptables入门指南 --- iptables详解 ---iptbales 防火墙
weixin_30462049的博客
02-01 626
iptables 1、1 iptables防火墙简介 Netfileter/iptables (以下简称iptables)是nuix/linux 系统自带的优秀且完全免费的基于包过滤的防火墙工具、它的功能十分强大、使用非常灵活、可以对流入、流及流经服务器的数据包行精细的控制。特别是它可以在一台非常低配置下跑的非常好。提供400台机器的办公上网共享服务丝毫不逊色数万RMB企业级专业路由器...
iptables详解
wdt3385的专栏
12-25 5185
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对入网络的IP、数据行检测。 目前市面上比较常见的
iptables 的简单使用
weixin_61313270的博客
01-06 1511
iptables简单介绍与举例
iptables-restore命令 还原iptables表的配置
01-20
iptables-restore命令用来还原iptables-save命令所备份的iptables配置。 语法格式:iptables-restore [参数] 常用参数: -c 指定在还原iptables表时候,还原当前的数据包计数器和字节计数器的值 -t 指定要还原...
iptables常用命令.doc
08-17
这是我自己整理的iptables文档,在此提供仅供用来参考参考!
iptables-save命令 保存iptables的表配置
01-20
iptables-save命令用于保存iptables的表配置。 语法格式:iptables-save [参数] 常用参数: -c 指定要保存的iptables表时,保存当前的数据包计算器和字节计数器的值 -t 指定要保存的表的名称 参考实例 指定...
iptables常用示例,用于精通网络命令
12-19
iptables常用示例,用于精通网络命令,熟练使用iptables
iptables命令详解
w329636271的专栏
03-08 1302
iptabels [root@www ~]# iptables [-AI链名] [-io网路介面] [-p协定] \ > [-s来源IP/网域] [-d目标IP/网域] -j [ACCEPT |DROP|REJECT|LOG] 选项与参数: -AI 链名:针对某的链行规则的"插入" 或"累加" -A :新增加一条规则,该规则增加在原本规则的最后面。例如原本已经有四条规则, 使用-A 就可以加上第五条规则! -I :插入一条规则。如果没有指定此规则的顺序,预设
iptables 实战】02 iptables常用命令
程序员笔记
10-02 782
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。
iptables基础学习(一)
lailaiquququ11的博客
10-30 635
主要学习罗列一些简单的iptables简单基础知识
linux防火墙禁IP
04-17 1374
linux下实用iptables封ip段的一些常见命令: 封单个IP的命令是: iptables -I INPUT -s 211.1.0.0 -j DROP 封IP段的命令是: iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I INPUT -s 211.2.0.0/16 -j DROP iptables -I INPUT -s 2...
linux中Iptables限制同一IP连接数防CC/DDOS攻击方法
l602108654的博客
03-27 1849
1.限制与80端口连接的IP最大连接数为10,可自定义修改。 代码如下 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP 2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。 代码如下 iptables -A INPUT -p tcp --dport 80 --syn -m recent -..
iptables结构及规则
零下二度的博客
01-08 1625
目录一、iptables概述:netfilter:iptables:二、四表五链四表五链四表:五链:三、iptables的安装与使用1、iptables防火墙的配置方法(1) 使用iptables 命令行(2)注意事项(3)常用的控制类型(4)常用的管理选项2、使用iptables添加新的规则:查看规则列表:设置默认策略:删除规则:清空规则:四、规则的匹配1、通用匹配2.隐含匹配TCP标记匹配ICMP类型匹配3.显式匹配MAC地址匹配IP范围匹配状态匹配4、主机型防火墙必配 一、iptables概述: Li
linux系统防火墙操作
monkey00001的博客
05-26 403
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录Linux 打开防火墙端口方法关闭防火墙开启防火墙防火墙状态永久关闭永久开启:方法一(命令): Linux 打开防火墙端口方法 关闭防火墙 service iptables stop 开启防火墙 service iptables start 防火墙状态 service iptables status 永久关闭 chkconfig iptables off 永久开启: chkconfig iptables on 方法一(命令): 1.
Linux 防火墙
oooo2316的博客
03-01 1604
Linux 防火墙 Ubuntu 1、查看端口开启状态 sudo ufw status 2、开启某个端口,比如我开启的是8381 sudo ufw allow 8381 3、开启防火墙 sudo ufw enable 4、关闭防火墙 sudo ufw disable 5、重启防火墙 sudo ufw reload 6、禁止外部某个端口比如80 sudo ufw delete allow ...
iptables常用命令格式
06-11
iptables 是用于配置和管理 Linux 系统网络规则的命令行工具。以下是常用iptables 命令格式: ``` iptables [-t 表名] 命令 [链名] [规则内容选项] ``` 其中,`-t` 表示表名,常用的表名有 `filter`、`nat` 和 `mangle` 等;`命令` 包括 `A`、`D`、`I`、`R` 和 `L` 等,分别表示添加规则、删除规则、插入规则、替换规则和列规则;`链名` 表示要操作的链的名称,常用的链名有 `INPUT`、`OUTPUT`、`FORWARD`、`PREROUTING` 和 `POSTROUTING` 等;`规则内容选项` 表示要添加或删除的规则内容,包括源地址、目标地址、协议、端口等信息。 以下是常用iptables 命令及其作用: - `iptables -L`:列当前所有规则; - `iptables -F`:清空所有规则; - `iptables -P`:设置默认策略; - `iptables -A`:添加规则; - `iptables -D`:删除规则; - `iptables -I`:插入规则; - `iptables -R`:替换规则; - `iptables -N`:创建新链; - `iptables -X`:删除自定义链; - `iptables -Z`:将计数器归零; - `iptables -t`:指定表名; - `iptables -p`:指定协议; - `iptables -s`:指定源地址; - `iptables -d`:指定目标地址; - `iptables --sport`:指定源端口; - `iptables --dport`:指定目标端口; - `iptables -j`:指定动作。 以上是常用iptables 命令及其作用,使用时应注意规则的顺序和优先级,避免现意外情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

訾零

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值