本文详细介绍了在Linux环境中如何使用iptables进行防火墙规则的设置,包括添加、删除、修改规则,拒绝或接受特定IP、端口和协议,以及自定义链的创建和管理。此外,还涉及到iptables规则的持久化和NAT转换的应用。
一、简单添加
两台设备,防火墙关闭,防火墙规则很干净,网络通畅。
当启用防火墙后,iptables -vnL显示出所有规则,但我们不使用默认规则,清空规则,自己定义
1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾添加),设置源地址是192.168.239.70发出的请求,全丢弃,即不回应
之前是通的,但设置完防火墙规则后的DROP(丢弃)就卡在这里,光标不停闪烁
2、iptables -I INPUT -s 192.168.239.70 -j REJECT,插入规则,源地址为192.168.239.70的主机发出的请求全部拒绝,这里直接返回目标端口不可到达
iptables -I INPUT 2 -s 192.168.239.70 -j REJECT,插入第二条
3、iptables -D INPUT 2,删除INPUT中的第二条规则
4、iptables -R INPUT 2 -s 192.168.1.1 -j REJECT,替换规则中第2条源地址ip由192.168.239.70更改为192.168.1.1
5、iptables -A INPUT -s 192.168.239.70,192.168.239.71 -j REJECT,一次加入两条ip
6、iptables -A INPUT -s ! 192.168.239.70 -j REJECT,除了192.168.239.70的ip,全部拒绝
生产中为了避免自己设置规则时候不小心把自己踢出,应做防火墙备份,再用at执行计划,设置5分钟后执行,等规则设置完成后再取消计划,避免产生不必要的麻烦
7、iptables -P INPUT DROP,更改策略中只要不匹配就DROP,默认为ACCEPT(只支持ACCEPT和DROP,不支持REJECT),最好不要进行更改
8、iptables -A OUTPUT -d 192.168.239.70 -j DROP,拒绝本机流出报文访问目标地址192.168.239.70
最低0.47元/天 解锁文章
扫一扫
1071
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
