共计 1582 个字符,预计需要花费 4 分钟才能阅读完成。
IPTABLES 规则,先拒绝所有链接,在注意开放对外服务
IPTABLES 可用操作
(1)-L:先是所选链中所有策略 IPTABLES -t filter -L
(2)-A:(链名称):在所选链尾部加上一条新的策略
例:IPTABLES -t filter -A INPUT -S 192.168.3.1 -j DROP
(3) -D:(链名称)(策略内容或序号)从所选链中删除策略
例:iptables -t filter -D INPUT 3
(4) -F(链名称)清空所选链策略,
iptables -F INPUT
IPTABLES 可用数据描述
(1)-p(tcp/udp/icmp)匹配指定的协议 例:
阻止源地址为 192.168.3.1 到本机的所有 UDP 通信
iptables -t filter -A INPUT -P udp -S 192.168.3.1 -j DROP
(2) -d (ip 地址) 阻止这个地址的通信
阻止 ip 地址为 192.168.3.1/192.168.3.0 这个网段的通信
iptables -t filter -A OUTPUT -d 192.168.3.1/ 192.168.3.0/24 -j DROP
(3) -i(网络接口) 以数据包进入本机接口来匹配数据包(进入本地接口 -i)
例:阻止从 eth0 进入的源地址为 192.168.3.1 的所有通信
iptables -t filter -A INPUT -i eth0 -s 192.168.3.1 -j DROP
(4)-o (网络接口) 以数据包离开本地所使用的网络接口来匹配数据包,同 -i(离开本地接口 -o)
例:阻止目标 IP 地址为 192.168.3.0 从 eth0 发出的所用通信
iptables -t filter -A OUTPUT -o eth0 -S 192.168.3.0/24 -j DROP
(5) –sport (端口) 使用数据包源端口匹配数据包,该参数必须同 - p 配合使用
例:阻源端口为 1000 的所有 tcp 通信
iptables -t filter -A INPUT -p tcp –sport 1000 -j DROP
(6) –dport(端口) 基于数据包目的端口匹配
例:阻止目标端口为 1000 的所 tcp 通信
iptables -t filter -A OUTPUT -p tcp –dport 1000 -j DROP
常见服务策略配置
例:DNS:
iptables -A INPUT -p udp -s 192.168.3.0/24 –dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 –sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -D 192.168.3.0/24 –dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -D 192.168.3.0/24 –sport 53 -j ACCEPT
IPTABLES 规则保存在配置文件 /etc/sysconfig/iptables
以下命令可以将当前 IPTABLES 配置保存到配置文件中
service iptables save
推荐阅读:
iptables—包过滤(网络层)防火墙 http://www.linuxidc.com/Linux/2013-08/88423.htm
Linux 防火墙 iptables 详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm
iptables+L7+Squid 实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm
iptables 的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm
Linux 下防火墙 iptables 用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm
