简介

关于iptables的介绍网上有很多的资料,大家可以自己找一些关于iptables的工作原理,以及四表五链的简介,对于学习iptables将会事半功倍。本博文将会例举几个工作中常用的iptables应用组合。

系统环境

centos6.7

服务器IP:10.220.5.166/24

客户端IP:10.220.5.188/24

iptables的filter表的INPUT链的默认规则为DROP

案列详解

1.设置默认规则

[root@ken ~]# iptables -P INPUT DROP             #设置INPUT链默认规则设置为DROP,工作中一般默认4.是drop

[root@ken ~]# iptables -P INPUT ACCEPT           #设置INPUT链默认规则设置为ACCEPT

[root@ken ~]# iptables -P OUTPUT DROP            #设置OUTPUT链默认规则设置为DROP,如果OUTPUT链开启DROP,相应组合后可防范反弹式木马

[root@ken ~]# iptables -P OUTPUT ACCEPT          #设置OUTPUT链默认规则设置为ACCEPT

2.清空规则链

[root@ken ~]# iptables -t filter -F            #清空filter表规则

[root@ken ~]# iptables -t nat -F               #清空nat表规则

[root@ken ~]# iptables -t mangle -F            #清空mangle表规则

[root@ken ~]# iptables -t raw -F               #清空raw表规则

3.查看规则链

[root@ken ~]# iptables -L -n --line -v

4.允许10.220.5.0/24网段的客户端可以访问本机的80端口

[root@ken ~]# iptables -A INPUT -s 10.220./ --dport  -j ACCEPT

5.实现单向ping(即服务器可以ping通客户端,客户端ping不通服务器端)

[root@ken ~]# iptables -A INPUT -p icmp --icmp-type  -d 10.220.5.166 -j ACCEPT

[root@ken ~]# iptables -A OUTPUT -p icmp --icmp-type  -s 10.220.5.166 -j ACCEPT

注:--icmp-type 0 表示应答包

--icmp-type 8 表示请求包

6.只允许10.220.5.188发送httpd请求

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -p tcp --dport  --tcp-flags syn,ack,fin syn -j ACCEPT

7.限制只有10.220.5.188可以连接ssh

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -p tcp --dport  -j ACCEPT

8.允许10.220.5.188访问本机22,80,3306,100到200的端口

[root@ken ~]# iptables -A INPUT -p tcp -m multiport --dport ,,,: -m state --state NEW,ESTABLISHED -j ACCEPT

9.只允许ip地址10.220.5.10至10.220.5.20之间的主机访问本机的web网站

[root@ken ~]# iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 10.220.5.10-10.220.5.20 -j ACCEPT

10. 防暴力破解&DOS攻击,限制请求登录22端口的频率

[root@ken ~]# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit /minute --limit-burst  -j ACCEPT
[root@ken ~]# iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT

11.限制只能从10.220.5.188登录后台界面(admin.php)

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -m string --algo bm --string "admin.php" -j ACCEPT

12.限制每个用户只能同时登录5个ssh

[root@ken ~]# iptables -A INPUT -p tcp --dport  -m connlimit ! --connlimit-above  -j ACCEPT

13.限制每个客户端只能与80端口并发连接10个链接

[root@ken ~]#  iptables -A INPUT -p tcp --dport  -m state --state NEW,ESTABLISHED -m connlimit !--connlimit-above  -j ACCEPT

14.指定在1h只登录达到5次之上的,该次链接请求会被丢弃

[root@ken ~]# iptables -A INPUT -p tcp --dport  -m state --state NEW -m recent --name loginSSH --update --seconds  --hitcount  -j DROP

15.保存iptables规则

[root@ken ~]# service iptables save

熟练掌握以上15个iptables配置,你也可以和Hacker斗智斗勇,一决高下了。

iptables实战案例详解-技术流ken的更多相关文章

  1. NTP时间服务器实战应用详解-技术流ken

    简介 在搭建集群服务中,要保证各节点时间一致,NTP时间服务器就成为了一个好帮手了. 系统环境 系统版本:centos6.7 服务器IP:10.220..5.166/24 客户端IP:10.220.5 ...

  2. samba企业级实战应用详解-技术流ken

    1.简介 Samba是一套使用SMB(Server Message Block)协议的应用程序, 通过支持这个协议, Samba允许Linux服务器与Windows系统之间进行通信,使跨平台的互访成为 ...

  3. MySQL系列详解三:MySQL中各类日志详解-技术流ken

    前言 日志文件记录了MySQL数据库的各种类型的活动,MySQL数据库中常见的日志文件有 查询日志,慢查询日志,错误日志,二进制日志,中继日志 .下面分别对他们进行介绍. 查询日志 1.查看查询日志变 ...

  4. 实战!基于lamp安装wordpress详解-技术流ken

    简介 LAMP 是Linux Apache MySQL PHP的简写,其实就是把Apache, MySQL以及PHP安装在Linux系统上,组成一个环境来运行动态的脚本文件.现在基于lamp搭建wor ...

  5. KVM虚拟化使用详解--技术流ken

    KVM介绍 Kernel-based Virtual Machine的简称,是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中. KVM的虚拟化需要硬件支持 ...

  6. cobbler批量安装系统使用详解-技术流ken

    前言 cobbler是一个可以实现批量安装系统的Linux应用程序.它有别于pxe+kickstart,cobbler可以实现同个服务器批量安装不同操作系统版本. 系统环境准备及其下载cobbler ...

  7. linux四剑客-grep/find/sed/awk/详解-技术流ken

    四剑客简介 相信接触过linux的大家应该都学过或者听过四剑客,即sed,grep,find,awk,有人对其望而生畏,有人对其爱不释手.参数太多,变化形式太多,使用超级灵活,让一部分人难以适从继而望 ...

  8. pxe+kickstart自动化批量安装系统详解-技术流ken

    前言 pxe+kickstart是一款可以实现自动化批量安装系统的服务,比较经典,下面将详细介绍此服务的安装和使用. 系统环境准备 系统版本:CentOS release 6.7 (Final) 内网 ...

  9. MySQL系列详解五: xtrabackup实现完全备份及增量备份详解-技术流ken

    xtrabackup简介 xtrabackup是一个用来对mysql做备份的工具,它可以对innodb引擎的数据库做热备.xtrabackup备份和还原速度快,备份操作不会中断正在执行的事务,备份完成 ...

随机推荐

  1. B树/[oracle]connect BY语句

    读大神的书,出现很多没有见过的函数和便捷操作,特此记录 connect by 之前没有接触过,为了学习这个语句,先了解一下B树数据类型是最好的方法. [本人摘自以下博客] https://www.cn ...

  2. python循环解压rar文件

    python循环解压rar文件 C:. │ main.py │ ├─1_STL_算法简介 │ STL_算法简介.rar │ └─2_STL_算法_填充新值 STL_算法_填充新值.rar 事情是这样的 ...

  3. Thread,ThreadPool,Task

    线程分为前台和后台.比如我们直接new一个Thread这就是前台线程. 前台线程一定会执行. 比如我们创建2个线程:1号,2号,同时执行,假设1号是主线程,1执行完了,依旧会等待2执行完成,整个程序才 ...

  4. easyui时的时间格式yyyy-MM-dd与yyyy-MM-ddd HH:mm:ss

    easyui日期的转换,日期汉化导入:<script type="text/javascript" src="../easyui/locale/easyui-lan ...

  5. Python核心团队计划2020年停止支持Python2,NumPy宣布停止支持计划表

    Python核心团队计划在2020年停止支持Python 2.NumPy项目自2010年以来一直支持Python 2和Python 3,并且发现支持Python 2对我们有限的资源增加了负担:因此,我 ...

  6. RabbitMQ “Hello world!”

    本文将使用Python(pika 0.9.8)实现从Producer到Consumer传递数据”Hello, World“. 首先复习一下上篇所学:RabbitMQ实现了AMQP定义的消息队列.它实现 ...

  7. 有关wkwebview和UIwebview获取html中的标签方法

    wkwebview方法如下: [webView evaluateJavaScript:@"navigator.userAgent" completionHandler:^(id r ...

  8. <mvc:annotation-driven> 中的HttpMessageConverters 的理解

    用烂的图 配置一个或多个HttpMessageConverter类型以用于转换@RequestBody方法 参数和@ResponseBody方法返回值. 使用此配置元素是可选的.  此处提供的Http ...

  9. Memcached详解

    Memcached介绍 Memcached是什么? Free & open source, high-performance, distributed memory object cachin ...

  10. Springboot 前后端数据传输 常见误区

    一 content-Type代表的是,传输数据的编码方式 当ajax,JS向后台发起请求的时候,常常会设置content-type,告知服务器前台传输的数据是什么编码方式 1 application/ ...