2018-05-04 13:34:19
命令及使用方法
iptables -nL 查看防火墙规则
-n 以数字形式显示IP
-L 列表
iptables -F 清空防火墙规则
iptables -X 清空用户自定义的链
iptables -Z 链的计数器清零
配置语句实例
iptables -t Filter -A INPUT -p tcp --dport 52113 -j DROP
-t 指定表
-A 追加
-I 插入到最前面
-p 指定协议,协议可以是默认的all,非默认的tcp,udp,icmp
--dport 指定目的端口
-j 指定操作,可以是ACCEPT,DROP,REJECT(一般不用reject)
删除规则语句实例
iptables -nL --line-number
--line-number 显示每一条规则的序号
iptables -D INPUT 1 删除INPUT链的第一条规则
-D 删除
配置语句实例2
iptables -I INPUT 2 -p tcp --dport 10000 -j DROP 在第2行前插入规则
禁止某个网段的链接
iptables -A INPUT -s 10.0.0.0/24 -j DROP
-s 指定网段
取反
iptables -A INPUT ! -s 10.0.0.0/24 -j DROP
对于网卡的控制
iptables -A INPUT -p tcp --dport 6211 -i eth0 ! -s10.0.0.0/24 -j DROP
-i 匹配进入的网卡接口
-o 匹配出去的网卡接口
封端口
--dport 代表目的端口
--sport 代表源端口
端口范围
iptables -A INPUT -p tcp --dport 5000:6000 -j DROP
5000:6000 代表封5000到6000的端口
iptables -A INPUT -p tcp -m mutiport --dport 23,25,27,29 -j DROP
-m mutiport --dport 23,25,27,29 封不同的端口
封icmp协议的实例
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
--icmp-type 8 代表禁止了ICMP协议的ping
匹配网络状态
允许关联的状态包通过实例
iptbales -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptbales -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-P控制默认规则
企业级标准的防火墙部署
一般模式有两种,逛公园模式以及看电影模式
逛公园模式——首先允许所有人进(ACCEPT),有可以的人被隔离(DROP)
看电影模式——首先拒绝所有人进(DROP),认证过的人能够进(ACCEPT)
配置流程
iptables -F iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT ##表示允许指定外网的访问 iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT ##表示允许指定内网的访问 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##允许80端口的访问 iptables -A INPUT -p icmp --icmp-type any -j ACCEPT ##允许icmp协议
iptables -P INPUT DROP ##修改默认规则
iptables -P OUTPUT DROP
iptables -P FOWORD DROP
iptables -nL /etc/init.d/iptables start
保存配置
iptables规则重启后会失效,要保存配置,可以使用
/etc/init.d/iptables save 文件保存到/etc/sysconfig/iptables
方法2:
iptables-save >/etc/sysconfig/iptables