参考: http://blog.51yip.com/linux/1404.html

链和表



参考: https://aliang.org/Linux/iptables.html

配置

作为服务器

用途 链/表
过滤到本机的流量: input链 filter表
过滤到本地发出的流量: output链 filter表

作为路由器

用途 链/表
过滤转发的流量: forward链 filter表
过滤转发的数据的源/目标进行修改(NAT) pre-outing, post-routing

常见选项

iptables

-L --list

-t  filter/nat

-n, --numeric

      Numeric output.  IP addresses and port numbers will be printed in numeric format.

-F, --flush-chain

-X, --delete-chain

-p, --protocol protocol

    tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 172.16.93.0/24  -j SNAT --to-source 10.0.0.1

iptables -t filter -L

iptables -t nat -L -n

sudo iptables -F && sudo iptables -X && sudo iptables -F -t nat && sudo iptables -X -t nat

iptables -P FORWARD ACCEPT

iptables -t nat -L -n --line-number

iptables save #保存cli规则

iptables -F #清除所有iptables规则

iptables -F -t mat # 清空nat表

参考:

http://quenywell.com/10-usefull-iptables-rules-examples/

清除IPTables规则

允许SSH入站连接

设置IPTables默认策略

只允许从特定网段访问SSH服务器

允许访问Loopback

允许外网Ping服务器

允许HTTP和HTTPS入站连接

允许使用邮件服务

允许使用外网DNS解析

同一条规则设置多个端口

默认是accept:

一般情况下,INPUT、OUTPUT、FORWARD链的默认策略都是ACCEPT。如果想更改默认策略为DROP,可以用以下命令(注意大小写):

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWARD DROP

增删改查iptables

- 列出规则

iptables -L

- 插入一个规则

iptables -I INPUT 3 -p tcp -dport 22 -j ACCEPT

- 删除一个规则

iptables -D INPUT 3

iptables -D INPUT -s 192.168.1.2 -j DROP

- 删除所有规则

iptables -F

-s ‘!’ 192.168.1.x/24  加上!排除地址

匹配参数

- 基于ip地址

-s 192.168.1.1

-d 10.0.0.0/8

- 基于接口

-i eth0

-o eth1

-排除参数

-s '!'192.168.1.0/24

input output

控制到本机的网络流量

iptables -A INPUT -s 192.168.1.100 -j DROP

iptables -A INPUT -p tcp --dport 80 -j DROP

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

iptables -A INPUT -i eth0 -j ACCEPT

注意大小i,小i是指定接口。-I  -D -A

forward

- 禁止192.168.1.0/24到10.1.1.0/24的流量

iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.0/24 -j DROP 

iptables save # 报错cli规则

iptables -F #清除所有iptables规则

源地址转换

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 218.29.30.31

不加-t时默认是filter

语法参数:

-I:第一行插入

-A:最后追加

-i/o:指的是数据要进入或出去所要经过的端口,如eth1,eth0,pppoe等

-p:你所要指定的协议

-s:指定来源ip,可以是单个ip如192.168.109.131,也可以是一个网络 192.168.109.0/24,还可以是一个域名如163.com,如果你填写的是域名系统会自动解析出他的ip并在iptables里显示

--sport:来源端口

-d:指定目标ip

--dport:目标端口

-j:执行参数ACCEPT或DROP,REJECT一般不用

-A 在指定链的末尾添加(append)一条新的规则

-D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除

-I 在指定链中插入(insert)一条新的规则,默认在第一行添加

-R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换

-L 列出(list)指定链中所有的规则进行查看

-E 重命名用户定义的链,不改变链本身

-F 清空(flush)

-N 新建(new-chain)一条用户自己定义的规则链

-X 删除指定表中用户自定义的规则链(delete-chain)

-P 设置指定链的默认策略(policy)

-Z 将所有表的所有链的字节和数据包计数器清零

-n 使用数字形式(numeric)显示输出结果

-v 查看规则表详细信息(verbose)的信息

-V 查看版本(version)

-h 获取帮助(help)

如果配置的是INPUT(进入),则来源ip是运程ip,目标端口就是本机;OUTPUT相反

iptables的执行优先级:

iptables的执行顺序是自上而下,当有配置产生冲突时,前面执行的生效。

INPUT OUTPUT FORWARD区分

参考:https://unix.stackexchange.com/questions/96548/what-is-the-difference-between-output-and-forward-chains-in-iptables

INPUT: dst IP is on the host, even it has multiple port with multiple subnet

OUTPUT: src IP is from the host, either port

FORWARD: Neither dst IP on the host nor src IP from the host

For example, to router A

INPUT is:

192.168.10.1 -> 192.168.10.199

192.168.10.1 -> 192.168.2.1

OUTPUT is:

192.168.10.199 -> x.x.x.x

192.168.2.1 -> x.x.x.x

FORWARD is:

192.168.10.1 -> 192.168.2.199

192.168.10.1 -> 192.168.8.1

192.168.10.1 -> 192.168.8.199

常见配置

参考: http://blog.51cto.com/lustlost/943110

#开启22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

#关闭所有端口

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

#开启80端口,HTTP服务

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

#开启3306端口,MYSQL服务

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT

#开启53端口,DNS服务

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

#开启20,21端口,FTP服务

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

#由于FTP在上传下载中会使用到任意的端口,故先设置FTP使用的端口,再打开端口

vi /etc/vsftpd.conf

#在配置文件的最下面 加入

pasv_min_port=30001

pasv_max_port=31000

iptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT

#打开PING

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

#替换安全的22,80输出端口

iptables -R OUTPUT 1 -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -R OUTPUT 2 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

#保存IPTABLES设置

service iptables save

#查看是否保存成功

cat /etc/sysconfig/iptables

#出现以下内容代表设置成功:

# Generated by iptables-save v1.3.5 on Thu Sep  8 19:41:30 2011

*filter

:INPUT DROP [103:6135]

:FORWARD DROP [0:0]

:OUTPUT DROP [12:964]

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p udp -m udp --sport 53 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 30001:31000 -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 3306 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 30001:31000 -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

COMMIT

# Completed on Thu Sep  8 19:41:30 2011

#另外,按编号查看规则使用以下命令

iptables -L -n --line-number

[svc]linux iptables实战的更多相关文章

  1. [svc]linux正则实战(grep/sed/awk)

    企业实战: 过滤ip 过滤出第二行的 192.168.2.11. eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 ine ...

  2. Linux iptables:场景实战一

    <Linux iptables:规则原理和基础>和<Linux iptables:规则组成>介绍了iptables的基础及iptables规则的组成,本篇通过实际操作进行ipt ...

  3. Linux.NET实战手记—自己动手改泥鳅(上)

    各位读者大家好,不知各位读者有否阅读在下的前一个系列<Linux.NET 学习手记>,在前一个系列中,我们从Linux中Mono的编译安装开始,到Jexus服务器的介绍,以及如何在Linu ...

  4. linux iptables常用命令之配置生产环境iptables及优化

    在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令 ...

  5. Linux iptables原理--数据包流向

    Iptable与Netfilter 在上一篇文章 linux iptables常用命令--配置一个生产环境的iptables 我们知道iptables有好几个表,如raw,mangle,nat,fil ...

  6. Linux系统实战项目——sudo日志审计

    Linux系统实战项目——sudo日志审计   由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维.开发等各个人员技术水平.操作习惯都不相同,也会因一时失误造成误操作,从而 ...

  7. Linux iptables

    一.简介 http://liaoph.com/iptables/ 二.操作 1)查看规则 iptables -t filter -L -n iptables -t nat -L -n iptables ...

  8. Linux iptables 应用控制访问SSH服务

    Title:Linux iptables 应用控制访问SSH服务  --2012-02-23 17:51 今天用到了以前从来没有用到过的,iptables控制访问,只允许外部访问SSH服务(22号端口 ...

  9. Linux iptables 配置规则

    Linux iptables 防火墙配置规则 前言:把网上我感觉不错iptables的访问规则都统一在这里,以后做参考. modprobe ipt_MASQUERADE modprobe ip_con ...

随机推荐

  1. C++和java的区别和联系

    今晚,数院的一个兄弟借我Java课本,顺便问了一句“Java和C++到底有啥区别啊”.一下子有点问蒙了,“啊额.....运行平台不同....”  "一个在高层,一个在底层...." ...

  2. Unity 脚本中的主要函数的 执行顺序及其介绍

    Awake ->OnEable-> Start -> FixedUpdate-> Update  -> LateUpdate ->OnGUI ->OnDisa ...

  3. Clion 常用快捷键

    clion 快捷键 CTRL+ALT+I  自动缩进 查询快捷键CTRL+N   查找类CTRL+SHIFT+N  查找文件CTRL+SHIFT+ALT+N 查 找类中的方法或变量CIRL+B   找 ...

  4. Ubuntu+Fedora进阶学习,指令迅速查询,Bug迅速查询(Ctrl+F)

    There is some notes while I am learning Ubuntu Operate System! (Ask Ubuntu & Fedora) 1-- Hard li ...

  5. 洛谷 P1004 方格取数 【多进程dp】

    题目链接:https://www.luogu.org/problemnew/show/P1004 题目描述 设有N*N的方格图(N<=9),我们将其中的某些方格中填入正整数,而其他的方格中则放 ...

  6. 聊聊ReentrantLock的内部实现

    大家都用过ReentrantLock,但是大家对内部实现是否足够了解呢,下面我就简单说一下其中的实现原理. ReentrantLock是可重入锁,也就是同一个线程可以多次获取锁,每获取一次就会进行一次 ...

  7. c#textBox控件限制只允许输入数字及小数点

    在textboxd的事件中的 KeyPress 事件,这样双击进入代码:输入以下代码 即可 //判断按键是不是要输入的类型. || () && ( && () e.Ha ...

  8. Java开发笔记(九十一)IO流处理简单的数据压缩

    前面介绍的文件I/O,不管是写入文本还是写入对象,文件中的数据基本是原来的模样,用记事本之类的文本编辑软件都能浏览个大概.这么存储数据,要说方便确实方便,只是不够经济划算,原因有二:其一,写入的数据可 ...

  9. 喵哈哈村的魔法考试 Round #10 (Div.2) 题解

    喵哈哈村与哗啦啦村的大战(一) 最大值就是全部+3,最小值就是全部-3,注意不能降为负数. #include<bits/stdc++.h> using namespace std; con ...

  10. Java之String、StringBuilder、StringBuffer的区别

    String : 字符串常量,它们的值在创建之后不能更改.代表字符串,Java 程序中的所有字符串字面值(如 "abc" )都作为此类的实例实现. String的值是不可变的,这就 ...