iptables的构成(四表五链)
    表
        filter:过滤数据包
        nat :转换数据包的源或目标地址
        mangle:用来mangle包,改变包的属性
        raw:用来不让iptables做数据包的链接跟踪处理,主要是提高性能

*优先级:raw>mangle>nat>filter(请注意优先级)


        INPUT:对进入主机的数据包进行修改
        OUPTUT:从主机向外发送的数据包进行修改
        FORWARD:转发的数据包,路由判断后最后一次更改包的源地址前对数据包进行修改
        PREROUTING:数据包进入防火墙后,路由判断之前对数据包进行修改
        POSTROUTING:路由判断后对数据包进行修改
iptables的基本操作       
一、管理防火墙
        启动
            # service iptables start
            # chkconfig --level 2345 iptables on
            管理程序:/etc/init.d/iptables
        关闭
            # service iptables stop
            # chkconfig iptables off
        保存防火墙规则
            # service iptables save
            规则保存位置:/etc/sysconfig/iptables

iptables 命令格式: iptables [-t 表名] 选项 规则

二、防火墙规则管理
        1)显示防火墙中的规则
            -L:显示防火墙中的规则列表
            -n:不将规则反解成服务名称(以数字)
            --line:显示规则编号
            -v:显示规则详细信息
            【在关闭的情况下,是看不到防火中的规则的】
        2)删除规则
            -D #:删除指定编号的规则
            -F:清空规则
           
                例子:删除filter表的INPUT链的第三个规则
                    # iptables -t filter -D INPUT 3
                例子:删除filter表的INPUT链的全部规则
                    # iptables -t filter -F INPUT
                例子:删除filter表的全部规则   
                    # iptables -t filter -F
        3)保存规则
            # service iptables save
            【执行保存规则操作的时候,会将内存中的规则刷新磁盘上/etc/sysconfig/iptables】 
        4)清空防火墙的计时器
            -Z: 清空规则计时器
            例子:清空filter的全部计数器
                    # iptables -t filter -Z
        5)添加
            -A: 在最后一条规则后,添加新规则
            -I:在指定的位置前插入规则。如果不指定位置,是插入在第一条
            -R:替换指定编号的规则
           
            -j 动作:指定一个数据包匹配到这个规则后所执行的操作
                动作:
                    ACCEPT:放行
                    DROP:丢弃
                   
            匹配条件:
                -d xxx:指定数据包中的目的IP
                -s xxx:指定数据包中的源的IP
                --sport xx:指定指定数据包中的源端口
                --dport xx:指定数据包中的目的端口
                -p xx:指定协议类型
           
            例子:禁止192.168.6.222链接当前主机的tcp 22端口
                # iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
           
        6)修改默认规则
            -P: 修改链的默认规则
            修改默认规则为DROP前,必须首先放行22端口
             
练习:
            1、清空防火墙的规则
                # iptables -t filtler -F
                # iptables -t nat -F
                # iptalbes -t mangle -F
                # iptables -t raw -F
            2、清空计数器
                # iptables -t filtler -Z
                # iptables -t nat -Z
                # iptalbes -t mangle -Z
                # iptables -t raw -Z       
            3、保存规则
                # service iptables save
       
            4、配置规则实现只允许自己的window链接linux主机
                # iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j ACCEPT
                # iptables -A OUTPUT -d x.x.x.x -p tcp --sport 22 -j ACCEPT
            5、修改默认规则为DROP
                # iptables -P INPUT DROP
                # iptables -P OUTPUT DROP
                # service iptables save
            6、禁止外部主机ping linux,但是linux可以ping外部主机
                # iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
                # iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
            7、允许任意主机访问linux的80端口
                # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
                # iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
            8、保存规则
                # service iptables save

PS:还望指正,谢谢 –author by :潇湘雨错,zxhk

Linux中的堡垒--iptables的更多相关文章

  1. Linux中的防火墙----iptables

    防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网 ...

  2. linux中firewall与iptables防火墙服务

    火墙firewall-cmd --state 查看火墙的状态firewall-cmd --get-active-zones 目前所处的域firewall-cmd --get-default-zone ...

  3. linux中利用iptables+geoip过滤指定IP

    1. 前提条件 iptables >= 1.4.5 kernel-devel >= 3.7 2.  安装依赖包  代码如下 复制代码 # yum install gcc gcc-c++ m ...

  4. linux中iptables配置文件及命令详解详解

    iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables. 1.关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放. 下 ...

  5. linux中iptables配置文件及命令详解

    转自:https://www.cnblogs.com/itxiongwei/p/5871075.html iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconf ...

  6. LINUX中IPTABLES防火墙使用

    对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptable ...

  7. linux 中使用iptables 防止ddocs及cc攻击配置 。

    #防止SYN攻击,轻量级预防 iptables -N syn-floodiptables -A INPUT -p tcp –syn -j syn-floodiptables -I syn-flood ...

  8. Linux中的防火墙(Netfilter、Iptables、Firewalld)

    目录 Netfilter Iptables iptables做本地端口转发 Firewalld Netfilter Netfilter是Linux 2.4内核引入的全新的包过滤引擎,位于Linux内核 ...

  9. linux中iptables的用法

    iptables基本操作笔记 一.基本操作 #启动防火墙 service iptables start #停止防火墙 service iptables stop #重启防火墙 service ipta ...

随机推荐

  1. Xcode5.1离线下载安装及使用iOS5模拟器进行开发调试的方法

    Xcode5.1默认不支持iOS5版本的模拟器开发调试,在OS X Mavericks(10.9.x)下默认只能支持iOS6.1及以上版本的模拟器,在OS X Mountain Lion(10.8.x ...

  2. php排序之冒泡排序

    冒泡排序比较简单.作为很多公司面试笔试题常常出现,要求手写该排序算法.双层循环,不断的与后面的比较,如果大于后面的,调换两者顺序即可. 演示效果如图: 代码如下: <?php function ...

  3. innobackupex自动备份脚本(增量备份,自动压缩)

    #!/bin/bash #日期转为天数 function date2days { echo "$*" | awk '{ z=-$)/); y=$+-z; m=$+*z-; j=*m ...

  4. MVC模式网站编写经验总结

    单个网站使用MVC架构模式经验总结,包含具体网站包分类.包内类的编写.注意事项等方面.本人认为,按照如下包分类及编写方法,已经满足一个简单普通网站(主要针对java)的编写需求. MVC主要层级 数据 ...

  5. 一个tomcat究竟能接受多少并发

    maxThreads 对tomcat来说,每一个进来的请求(request)都需要一个线程,直到该请求结束.如果同时进来的请求多于当前可用的请求处理线程数,额外的线程就会被创建,直到到达配置的最大线程 ...

  6. nginx安装php和php-fpm

    最近在学习nginx,看了好多帖子终于安装成功了. 经验,首先不要用yum安装,安装完以后根本找不到安装目录在哪里呀,然后安装失败以后会很不方便. 最终选择了自己编译安装. 看了好多帖子都不行,终于找 ...

  7. Android ListView分页加载时图片显示问题

    场景:Android ListView需要分页加载,每个item中会有图片,图片又是从网络下载的. 问题:在滑动加载下一页时,上一页的图片明明已经下载完成了,但是无法显示出来. Bug重现: 1,加载 ...

  8. mvn export runnable jar

    mvn dependency:copy-dependencies <build> <plugins> <plugin> <groupId>org.apa ...

  9. samba服务器与远程登录ssh

    作者:相思羽  出处:http://www.cnblogs.com/xiang-siyu 欢迎转载,也请保留这段声明.谢谢! deepin安装与配置samba服务器 安装  apt-get insta ...

  10. struts1与struts2的区别

    Struts2其实并不是一个陌生的Web框架,Struts2是以Webwork的设计思想为核心,吸收了Struts1的优点,因此,可以认为Struts2是Struts1和Webwork结合的产物. 简 ...