iptables一些经常忘掉易混淆的参数

-A:新增加一条规则,该规则在原规则的最后面

-p:规定应用于哪种数据包,例如:tcp,udp等

-d:(destination),表示目标IP或网络

-s:(source),表示源IP或网络

-j:后面接动作,例如:ACCEPT,DROP,REJECT等

-i:后面接网卡名,input的缩写,与INPUT链配合

-o:后面接网卡名,output缩写,与output链配合

-L:列出目前的table原则

-n:不进行IP与HOSTNAME的反查

-v:列出更多信息

-F:清楚所有的已定制的规则

-X:清楚所有用户"自定义"的chain或者tables

-Z:将所有的chain的计数与流量统计都归零

注意:

在 -s 参数后面可以增加一个参数 -sport 端口范围(限制来源端口),如:1024:65535

在-d 参数后面可以增加一个参数 -dport 端口范围(限制目标端口)

需要特别注意,这两个参数重点在port上面,并且仅有TCP和UDP数据包具有端口,因此要想使用–dport,–sport时需要加上-p tcp或者 -p udp才会成功

常用用法:

来自192.168.100.10的就接受,来自192.168.100.11就抛弃

iptables -A INPUT -i eth0 -s 192.168.100.10 -j ACCEPT

iptables -A INPUT -i eth0 -s 192.168.100.11 -j DROP

iptables -I INPUT -i eth0 -s 192.168.100.0/24 -j ACCEPT

丢弃所有想要链接本机21端口的数据包

iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

禁止某个IP访问80端口

iptables -A INPUT -s "IP" -p tcp --dport 80 -j DROP

只要来自192.168.1.0/24的1024:65535端口的数据包,且想要连接的本机的ssh port就阻挡

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65535 --dport ssh -j DROP

开启常用端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

操作命令

保存防火墙配置

/etc/init.d/iptables save

开机自启动防火墙

chkconfig iptables on

查看运行状态

/etc/init.d/iptables status

未完待续

 

 

posted @ 2016-11-12 22:35  梦轻尘  阅读(229)  评论(0编辑  收藏  举报