正文将交由二十七个iptables常用规则示例,这一个事例为你提供了些基本的沙盘,您可以按照特定要求对其展开改动调整以达到梦想。  格式

【澳门金沙国际】2四个iptables常用示例。2多少个iptables常用示例

正文将付出2几个iptables常用规则示例,那几个事例为您提供了些基本的模版,您可以依据特定须求对其进展改动调整以高达梦想。  格式

2七个iptables常用示例,iptables示例

本文将付诸2几个iptables常用规则示例,那些事例为你提供了些基本的沙盘,您可以依照特定须求对其举行修改调整以达到梦想。  格式

iptables [-t 表名] 选项 [链名] [条件] [-j 控制项目] 参数

  1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
  8. -d 匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o 网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如tcp,udp,icmp
  12. --dport num 匹配目标端口号
  13. --sport num 匹配来源端口号

示例

1. 去除已有平整

在早先成立iptables规则此前,你或许须要删除已有规则。

 

  1. 命令如下:
  2. iptables -F
  3. (or)
  4. iptables –flush

2.设置链的默许策略

链的默许政策设置为”ACCEPT”(接受),若要将INPUT,FO奔驰G级WA福特ExplorerD,OUTPUT链设置成”DROP”(拒绝),命令如下:

 

  1. iptables -P INPUT DROP
  2. iptables -P FORWARD DROP
  3. iptables -P OUTPUT DROP

当INPUT链和OUTPUT链都安装成DROP时,对于每多个防火墙规则,大家都应有定义五个规则。例如:三个传诵另一个传开。在底下全体的例证中,由于大家已将DROP设置成INPUT链和OUTPUT链的默许策略,每一种景况我们都将制定两条规则。当然,要是您相信您的中间用户,则可以简简单单上边的尾声一行。例如:暗中同意不裁撤全体出站的数据包。在那种情景下,对于每二个防火墙规则须求,你只须求制订八个平整——只对进站的多少包制定规则。

3. 拦住指定IP地址

例:扬弃来自IP地址x.x.x.x的包

 

  1. iptables -A INPUT -s x.x.x.x -j DROP
  2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

例:阻止来自IP地址x.x.x.x eth0 tcp的包

 

  1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
  2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

4. 同意持有SSH的三番五次请求

例:允许持有来自外部的SSH连接请求,即只允许进入eth0接口,并且目的端口为22的数据包

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. 仅允许来自钦定网络的SSH连接请求

例:仅同意来自于192.168.100.0/24域的用户的ssh连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6.允许http和https的连日请求

例:允许持有来自web – http的连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

例:允许持有来自web – https的连年请求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

> 7. 用到multiport 将多少个规则结合在联名
> =====================================
>
> 允许多个端口从外边连入,除了为各样端口都写一条独立的规则外,我们得以用multiport将其组合成一条规则。如下所示: > > > > > > class=”Apple-converted-space”> 
> 例:允许具备ssh,http,https的流量访问
>
>  
>
> 1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
> 2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
>
> > 8. 同意从本土发起的SSH  
> > ========================
> >
> > 1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
> >
> > 请注意,那与允许ssh连入的条条框框略有不同。本例在OUTPUT链上,大家允许NEW和ESTABLISHED状态。在INPUT链上,大家只允许ESTABLISHED状态。ssh连入的条条框框与之相反。
> >
> > > 9. 仅同意从地方发起到二个点名的互联网域的SSH请求
> > > ==============================================
> > >
> > > 例:仅同意从里头连接到网域192.168.100.0/24
> > >
> > >  
> > >
> > > 1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > 2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
> > >
> > > > 10. 同意从当地发起的HTTPS连接请求
> > > > =================================
> > > >
> > > > 上边的条条框框允许输出安全的互联网流量。假如您想同意用户访问互连网,这是尤其有必不可少的。在服务器上,那几个规则能让你使用wget从表面下载一些文书
> > > >
> > > >  
> > > >
> > > > 1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > 2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
> > > >
> > > > 注:对于HTTP
> > > > web流量的外联请求,只须要将上述命令中的端口从443改成80即可。
> > > >
> > > > > 11. 负载平衡传入的网络流量
> > > > > ==========================
> > > > >
> > > > > 使用iptables可以兑现传入web流量的负荷均衡,大家得以流传web流量负载平衡使用iptables防火墙规则。 > > > > > > > > > > class=”Apple-converted-space”>  例:使用iptables
> > > > > nth将HTTPS流量负载平衡至三个不等的ip地址。
> > > > >
> > > > >  
> > > > >
> > > > > 1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
> > > > > 2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
> > > > > 3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443
> > > > >
> > > > > > 12. 允许外部主机ping内部主机  
> > > > > > ==============================
> > > > > >
> > > > > > 1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> > > > > > 2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
> > > > > >
> > > > > > > 13. 同意内部主机ping外部主机  
> > > > > > > ==============================
> > > > > > >
> > > > > > > 1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
> > > > > > > 2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
> > > > > > >
> > > > > > > > 14. 允许回环访问
> > > > > > > > ================
> > > > > > > >
> > > > > > > > 例:在服务器上同意127.0.0.1围绕访问。
> > > > > > > >
> > > > > > > >  
> > > > > > > >
> > > > > > > > 1. iptables -A INPUT -i lo -j ACCEPT
> > > > > > > > 2. iptables -A OUTPUT -o lo -j ACCEPT
> > > > > > > >
> > > > > > > > > 15. 允许内部网络域外部网络的通信> > > > > > > > > ================================
> > > > > > > > >
> > > > > > > > > 防火墙服务器上的内部三个网卡连接到表面,另四个网卡连接到其中服务器,使用以下规则允许内部互连网与外部网络的通信。此例中,eth1连接受外部互联网(网络),eth0连接受内部互连网(例如:192.168.1.x)。
> > > > > > > > >
> > > > > > > > >  
> > > > > > > > >
> > > > > > > > > 1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
> > > > > > > > >
> > > > > > > > > > 16. 同意出站的DNS连接  
> > > > > > > > > > =======================
> > > > > > > > > >
> > > > > > > > > > 1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
> > > > > > > > > > 2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
> > > > > > > > > >
> > > > > > > > > > > 17. 允许NIS连接
> > > > > > > > > > > ===============
> > > > > > > > > > >
> > > > > > > > > > > 假如你接纳NIS管理用户帐户,你须要允许NIS连接。尽管你不容许NIS相关的ypbind连接请求,尽管SSH连接请求已被允许,用户依然不或然登录。NIS的端口是动态的,先利用命令rpcinfo
> > > > > > > > > > > –p来了然端口号,此例中为853和850端口。 > > > > > > > > > > > > > > > > class=”Apple-converted-space”> 
> > > > > > > > > > > rpcinfo -p | grep ypbind > > > > > > > > > > > > > > > > class=”Apple-converted-space”> 
> > > > > > > > > > > 例:允许来自111端口以及ypbind使用端口的接连请求
> > > > > > > > > > >
> > > > > > > > > > >  
> > > > > > > > > > >
> > > > > > > > > > > 1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
> > > > > > > > > > > 2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
> > > > > > > > > > > 3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
> > > > > > > > > > > 4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
> > > > > > > > > > > 5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
> > > > > > > > > > > 6. iptables -A INPUT -p udp --dport 850 -j ACCEPT
> > > > > > > > > > >
> > > > > > > > > > > 注:当你重启ypbind之后端口将不相同,上述命令将对事情没有何益处。有三种缓解方案:1)使用你NIS的静态IP
> > > > > > > > > > > 2)编写shell脚本通过“rpcinfo –
> > > > > > > > > > > p”命令自动获取动态端口号,并在上述iptables规则中使用。
> > > > > > > > > > >
> > > > > > > > > > > > 18. 允许来自内定网络的rsync连接请求
> > > > > > > > > > > > ===================================
> > > > > > > > > > > >
> > > > > > > > > > > > 例:允许来自网络192.168.101.0/24的rsync连接请求
> > > > > > > > > > > >
> > > > > > > > > > > >  
> > > > > > > > > > > >
> > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > >
> > > > > > > > > > > > > 19. 允许来自钦定网络的MySQL连接请求
> > > > > > > > > > > > > ===================================
> > > > > > > > > > > > >
> > > > > > > > > > > > > 很多景色下,MySQL数据库与web服务跑在相同台服务器上。有时候我们仅希望DBA和开发人士从中间网络(192.168.100.0/24)直接登录数据库,可尝试以下命令:
> > > > > > > > > > > > >
> > > > > > > > > > > > >  
> > > > > > > > > > > > >
> > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > >
> > > > > > > > > > > > > > 20. 允许Sendmail, Postfix邮件服务
> > > > > > > > > > > > > > =================================
> > > > > > > > > > > > > >
> > > > > > > > > > > > > > Sendmail和postfix都采纳了25端口,由此大家只需求允许来自25端口的连天请求即可。
> > > > > > > > > > > > > >
> > > > > > > > > > > > > >  
> > > > > > > > > > > > > >
> > > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > >
> > > > > > > > > > > > > > > 21. 允许IMAP和IMAPS
> > > > > > > > > > > > > > > ===================
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > 例:允许IMAP/IMAP2流量,端口为143
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > 例:允许IMAPS流量,端口为993
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > 22. 允许POP3和POP3S
> > > > > > > > > > > > > > > > ===================
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > 例:允许POP3访问
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > 例:允许POP3S访问
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > 1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > > 2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
> > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > 23. 防止DoS攻击  
> > > > > > > > > > > > > > > > > =================
> > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > 1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
> > > > > > > > > > > > > > > > > 2. `
> > > > > > > > > > > > > > > > > 3.
上述例子中:> > > > > > > > > > > > > > > > > 4.-m limit: 启用limit扩展> > > > > > > > > > > > > > > > > 5.–limit 25/minute: 允许最多每秒钟二十六个连续(依据必要变动)。> > > > > > > > > > > > > > > > > 6.–limit-burst 100: 唯有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。> > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > 24. 端口转发
> > > > > > > > > > > > > > > > > > ============
> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > 例:将来自422端口的流量全部转到22端口。 > > > > > > > > > > > > > > > > > > > > > > > class="Apple-converted-space"> 
> > > > > > > > > > > > > > > > > > 这意味着我们既能通过422端口又能通过22端口进行ssh连接。启用DNAT转发。
> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > 1.
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 –dport 422 -j DNAT –to 192.168.102.37:22> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > 除此之外,还需要允许连接到422端口的请求
> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > 1.
iptables -A INPUT -i eth0 -p tcp –dport 422 -m state –state NEW,ESTABLISHED -j ACCEPT> > > > > > > > > > > > > > > > > > 2.iptables -A OUTPUT -o eth0 -p tcp –sport 422 -m state –state ESTABLISHED -j ACCEPT> > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 25. 记录丢弃的数据表
> > > > > > > > > > > > > > > > > > > ====================
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 第一步:新建名为LOGGING的链
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 1.
iptables -N LOGGING> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 第二步:将所有来自INPUT链中的数据包跳转到LOGGING链中
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 1.
iptables -A INPUT -j LOGGING> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 第三步:为这些包自定义个前缀,命名为”IPTables
> > > > > > > > > > > > > > > > > > > Packet Dropped”
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 1.
iptables -A LOGGING -m limit –limit 2/min -j LOG –log-prefix “IPTables Packet Dropped: ” –log-level 7> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 第四步:丢弃这些数据包
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > >  
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > 1.
iptables -A LOGGING -j DROP`
> > > > > > > > > > > > > > > > > > >
> > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > itemprop=”url”> > > > > > > > > > > > > > > > > > > > > > > > > id=”indexUrl”
> > > > > > > > > > > > > > > > > > > itemprop=”indexUrl”>www.bkjia.com > > > > > > > > > > > > > > > > > > > > > > > > id=”isOriginal”
> > > > > > > > > > > > > > > > > > > itemprop=”isOriginal”>true > > > > > > > > > > > > > > > > > > > > > > > > id=”isBasedOnUrl”
> > > > > > > > > > > > > > > > > > > itemprop=”isBasedOnUrl”> > > > > > > > > > > > > > > > > > > > > > > > > id=”genre”
> > > > > > > > > > > > > > > > > > > itemprop=”genre”>TechArticle > > > > > > > > > > > > > > > > > > > > > > > > id=”description”
> > > > > > > > > > > > > > > > > > > itemprop=”description”>2四个iptables常用示例,iptables示例
> > > > > > > > > > > > > > > > > > > 本文将交给2四个iptables常用规则示例,那一个事例为你提供了些基本的模板,您可以按照特定须要对其开展修…

iptables [-t 表名] 选项 [链名] [条件] [-j 控制项目] 参数

 

iptables [-t 表名] 选项 [链名] [条件] [-j 控制项目] 参数

 

正文将交给三十个iptables常用规则示例,那些事例为你提供了些基本的模板,您可以依据特定需要对其展开改动调整以高达梦想。  格式

 

  1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
  8. -d 匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o 网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如tcp,udp,icmp
  12. --dport num 匹配目标端口号
  13. --sport num 匹配来源端口号

iptables [-t 表名] 选项 [链名] [条件] [-j 控制项目] 参数

  1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
  8. -d 匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o 网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如tcp,udp,icmp
  12. --dport num 匹配目标端口号
  13. --sport num 匹配来源端口号

示例

 

示例

1. 剔除已有规则

  1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
  8. -d 匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o 网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如tcp,udp,icmp
  12. --dport num 匹配目标端口号
  13. --sport num 匹配来源端口号

1. 去除已有规则

在上马创办iptables规则此前,你恐怕要求删除已有平整。

示例

在发轫创办iptables规则以前,你只怕要求删除已有规则。

 

1. 剔除已有规则

 

  1. 命令如下:
  2. iptables -F
  3. (or)
  4. iptables –flush

在开班创办iptables规则在此以前,你或者须要删除已有规则。

  1. 命令如下:
  2. iptables -F
  3. (or)
  4. iptables –flush

2.设置链的暗许策略

 

2.设置链的暗许策略

链的暗中同意政策设置为”ACCEPT”(接受),若要将INPUT,FO猎豹CS6WA卡宴D,OUTPUT链设置成”DROP”(拒绝),命令如下:

  1. 命令如下:
  2. iptables -F
  3. (or)
  4. iptables –flush

链的暗中认同政策设置为”ACCEPT”(接受),若要将INPUT,FO帕杰罗WAQashqaiD,OUTPUT链设置成”DROP”(拒绝),命令如下:

 

2.设置链的暗中同意策略

 

  1. iptables -P INPUT DROP
  2. iptables -P FORWARD DROP
  3. iptables -P OUTPUT DROP

链的暗中同意政策设置为”ACCEPT”(接受),若要将INPUT,FO昂科雷WASportageD,OUTPUT链设置成”DROP”(拒绝),命令如下:

  1. iptables -P INPUT DROP
  2. iptables -P FORWARD DROP
  3. iptables -P OUTPUT DROP

当INPUT链和OUTPUT链都安装成DROP时,对于每二个防火墙规则,大家都应该定义三个规则。例如:2个传播另三个传播。在底下全体的例证中,由于大家已将DROP设置成INPUT链和OUTPUT链的暗中认同策略,每一种状态大家都将制定两条规则。当然,如若你相信您的中间用户,则足以简单下边的终极一行。例如:专擅认同不丢掉全体出站的数据包。在那种景色下,对于每3个防火墙规则要求,你只必要制定3个平整——只对进站的数码包制定规则。

 

当INPUT链和OUTPUT链都设置成DROP时,对于每贰个防火墙规则,大家都应该定义两个规则。例如:四个流传另3个流传。在上面全体的例证中,由于大家已将DROP设置成INPUT链和OUTPUT链的默许策略,各种情景我们都将制定两条规则。当然,如果您相信你的里边用户,则足以总结下边的尾声一行。例如:暗中认可不丢掉全体出站的数据包。在那种地方下,对于每三个防火墙规则要求,你只须求制订1个平整——只对进站的数码包制定规则。

3. 拦住内定IP地址

  1. iptables -P INPUT DROP
  2. iptables -P FORWARD DROP
  3. iptables -P OUTPUT DROP

3. 截留内定IP地址

例:扬弃来自IP地址x.x.x.x的包

当INPUT链和OUTPUT链都安装成DROP时,对于每三个防火墙规则,大家都应该定义四个规则。例如:3个传诵另叁个传诵。在底下全部的例证中,由于大家已将DROP设置成INPUT链和OUTPUT链的暗中同意策略,逐个景况大家都将制定两条规则。当然,即便你相信您的中间用户,则可以简简单单上边的终极一行。例如:专断认同不丢掉全部出站的数据包。在那种情形下,对于每一个防火墙规则须要,你只需求制定一个条条框框——只对进站的数目包制定规则。

例:放弃来自IP地址x.x.x.x的包

 

3. 阻拦指定IP地址

 

  1. iptables -A INPUT -s x.x.x.x -j DROP
  2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

例:抛弃来自IP地址x.x.x.x的包

  1. iptables -A INPUT -s x.x.x.x -j DROP
  2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

例:阻止来自IP地址x.x.x.x eth0 tcp的包

 

例:阻止来自IP地址x.x.x.x eth0 tcp的包

 

  1. iptables -A INPUT -s x.x.x.x -j DROP
  2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

 

  1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
  2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

例:阻止来自IP地址x.x.x.x eth0 tcp的包

  1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
  2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

4. 同意全数SSH的总是请求

 

4. 同意持有SSH的一而再请求

例:允许持有来自外部的SSH连接请求,即只允许进入eth0接口,并且目的端口为22的数据包

  1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
  2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

例:允许持有来自外部的SSH连接请求,即只允许进入eth0接口,并且目的端口为22的数据包

 

澳门金沙国际 ,4. 同意具备SSH的连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

例:允许具备来自外部的SSH连接请求,即只同意进入eth0接口,并且目的端口为22的数据包

  1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. 仅同意来自钦赐互连网的SSH连接请求

 

5. 仅允许来自内定网络的SSH连接请求

例:仅同意来自于192.168.100.0/24域的用户的ssh连接请求

  1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

例:仅同意来自于192.168.100.0/24域的用户的ssh连接请求

 

5. 仅同意来自钦定网络的SSH连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

例:仅允许来自于192.168.100.0/24域的用户的ssh连接请求

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6.同意http和https的接连请求

 

6.同意http和https的延续请求

例:允许持有来自web – http的连年请求

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

例:允许持有来自web – http的接连请求

 

6.同意http和https的两次三番请求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

例:允许具备来自web – http的连年请求

  1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

例:允许具备来自web – https的连接请求

 

例:允许全数来自web – https的连日请求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

例:允许全数来自web – https的接连请求

  1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. 行使multiport 将八个规则结合在一起

 

7. 用到multiport 将三个规则结合在联合

同意八个端口从外面连入,除了为各类端口都写一条独立的条条框框外,大家可以用multiport将其组合成一条规则。如下所示: 
例:允许具备ssh,http,https的流量访问

  1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

允许八个端口从外侧连入,除了为各个端口都写一条独立的条条框框外,大家得以用multiport将其组合成一条规则。如下所示: 
例:允许具备ssh,http,https的流量访问

 

7. 利用multiport 将三个规则结合在联合

 

  1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

允许五个端口从外面连入,除了为每种端口都写一条独立的条条框框外,大家可以用multiport将其组合成一条规则。如下所示: 
例:允许具备ssh,http,https的流量访问

  1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. 同意从地点发起的SSH

 

8. 允许从本地发起的SSH

 

  1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

 

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

8. 允许从当地发起的SSH

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

请留意,那与允许ssh连入的平整略有不相同。本例在OUTPUT链上,我们允许NEW和ESTABLISHED状态。在INPUT链上,咱们只允许ESTABLISHED状态。ssh连入的平整与之相反。

 

请留心,那与允许ssh连入的条条框框略有不一致。本例在OUTPUT链上,大家允许NEW和ESTABLISHED状态。在INPUT链上,大家只允许ESTABLISHED状态。ssh连入的条条框框与之相反。

9. 仅同意从地面发起到3个点名的互联网域的SSH请求

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

9. 仅同意从地点发起到三个钦命的网络域的SSH请求

例:仅允许从其中连接到网域192.168.100.0/24

请小心,那与允许ssh连入的条条框框略有差距。本例在OUTPUT链上,大家允许NEW和ESTABLISHED状态。在INPUT链上,大家只允许ESTABLISHED状态。ssh连入的平整与之相反。

例:仅同意从内部连接到网域192.168.100.0/24

 

9. 仅同意从本地发起到二个点名的互连网域的SSH请求

 

  1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

例:仅同意从内部连接到网域192.168.100.0/24

  1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. 允许从本土发起的HTTPS连接请求

 

10. 同意从地面发起的HTTPS连接请求

下边的规则允许输出安全的网络流量。如若你想同意用户访问互连网,那是充足有要求的。在服务器上,那几个规则能让您利用wget从外表下载一些文本

  1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

下边的规则允许输出安全的网络流量。假设您想同意用户访问网络,那是丰富有必不可少的。在服务器上,这个规则能让你利用wget从表面下载一些文本

 

10. 允许从本地发起的HTTPS连接请求

 

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

下边的规则允许输出安全的网络流量。倘若您想同意用户访问网络,那是老大有必不可少的。在服务器上,这一个规则能让你利用wget从表面下载一些文本

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

注:对于HTTP
web流量的外联请求,只需求将上述命令中的端口从443改成80即可。

 

注:对于HTTP
web流量的外联请求,只须求将上述命令中的端口从443改成80即可。

11. 负载平衡传入的网络流量

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

11. 负载平衡传入的网络流量

采取iptables可以兑现传入web流量的负荷均衡,大家得以流传web流量负载平衡使用iptables防火墙规则。  例:使用iptables
nth将HTTPS流量负载平衡至八个不等的ip地址。

注:对于HTTP
web流量的外联请求,只需要将上述命令中的端口从443改成80即可。

采用iptables能够完成传入web流量的负荷均衡,大家得以流传web流量负载平衡使用iptables防火墙规则。  例:使用iptables
nth将HTTPS流量负载平衡至两个不等的ip地址。

 

11. 负载平衡传入的网络流量

 

  1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
  2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
  3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

应用iptables可以兑现传入web流量的载荷均衡,我们得以流传web流量负载平衡使用iptables防火墙规则。  例:使用iptables
nth将HTTPS流量负载平衡至多个例外的ip地址。

  1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
  2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
  3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. 允许外部主机ping内部主机

 

12. 允许外部主机ping内部主机

 

  1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
  2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
  3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

 

  1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

12. 同意外部主机ping内部主机

  1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. 同意内部主机ping外部主机

 

13. 同意内部主机ping外部主机

 

  1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

 

  1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. 同意内部主机ping外部主机

  1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. 同意回环访问

 

14. 同意回环访问

例:在服务器上同意127.0.0.1缠绕访问。

  1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

例:在服务器上同意127.0.0.1围绕访问。

 

14. 允许回环访问

 

  1. iptables -A INPUT -i lo -j ACCEPT
  2. iptables -A OUTPUT -o lo -j ACCEPT

例:在服务器上同意127.0.0.1环绕访问。

  1. iptables -A INPUT -i lo -j ACCEPT
  2. iptables -A OUTPUT -o lo -j ACCEPT

15. 同意内部互连网域外部互连网的通讯

 

15. 同意内部互连网域外部互联网的通讯

防火墙服务器上的里边贰个网卡连接到表面,另3个网卡连接到里头服务器,使用以下规则允许内部网络与表面互联网的通讯。此例中,eth1连接受外部网络(网络),eth0连接受内部网络(例如:192.168.1.x)。

  1. iptables -A INPUT -i lo -j ACCEPT
  2. iptables -A OUTPUT -o lo -j ACCEPT

防火墙服务器上的里边一个网卡连接到表面,另一个网卡连接到中间服务器,使用以下规则允许内部网络与外部网络的通讯。此例中,eth1连接受外部网络(互连网),eth0连接受内部网络(例如:192.168.1.x)。

 

15. 允许内部互联网域外部互联网的通讯

 

  1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

防火墙服务器上的内部二个网卡连接到表面,另二个网卡连接到里头服务器,使用以下规则允许内部网络与外表互联网的通讯。此例中,eth1连接受外部网络(网络),eth0连接受内部网络(例如:192.168.1.x)。

  1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. 允许出站的DNS连接

 

16. 允许出站的DNS连接

 

  1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

 

  1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
  2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

16. 允许出站的DNS连接

  1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
  2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. 允许NIS连接

 

17. 允许NIS连接

一旦您利用NIS管理用户帐户,你要求允许NIS连接。若是您不允许NIS相关的ypbind连接请求,即便SSH连接请求已被允许,用户依然鞭长莫及登录。NIS的端口是动态的,先选择命令rpcinfo
–p来掌握端口号,此例中为853和850端口。  rpcinfo -p | grep ypbind 
例:允许来自111端口以及ypbind使用端口的连日请求

  1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
  2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

比方你利用NIS管理用户帐户,你需求允许NIS连接。假设你不允许NIS相关的ypbind连接请求,尽管SSH连接请求已被允许,用户还是不可以登录。NIS的端口是动态的,先利用命令rpcinfo
–p来领悟端口号,此例中为853和850端口。  rpcinfo -p | grep ypbind 
例:允许来自111端口以及ypbind使用端口的连日请求

 

17. 允许NIS连接

 

  1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
  2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
  3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
  4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
  6. iptables -A INPUT -p udp --dport 850 -j ACCEPT

倘若您利用NIS管理用户帐户,你须要允许NIS连接。倘使你不允许NIS相关的ypbind连接请求,固然SSH连接请求已被允许,用户还是鞭长莫及登录。NIS的端口是动态的,先使用命令rpcinfo
–p来明白端口号,此例中为853和850端口。  rpcinfo -p | grep ypbind 
例:允许来自111端口以及ypbind使用端口的连年请求

  1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
  2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
  3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
  4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
  6. iptables -A INPUT -p udp --dport 850 -j ACCEPT

注:当您重启ypbind之后端口将差别,上述命令将于事无补。有二种缓解方案:1)使用你NIS的静态IP
2)编写shell脚本通过“rpcinfo –
p”命令自动获取动态端口号,并在上述iptables规则中动用。

 

注:当您重启ypbind之后端口将不同,上述命令将于事无补。有三种缓解方案:1)使用你NIS的静态IP
2)编写shell脚本通过“rpcinfo –
p”命令自动获取动态端口号,并在上述iptables规则中使用。

18. 允许来自钦赐互连网的rsync连接请求

  1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
  2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
  3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
  4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
  6. iptables -A INPUT -p udp --dport 850 -j ACCEPT

18. 同意来自钦点互连网的rsync连接请求

例:允许来自网络192.168.101.0/24的rsync连接请求

注:当您重启ypbind之后端口将不一致,上述命令将船到江心补漏迟。有二种缓解方案:1)使用你NIS的静态IP
2)编写shell脚本通过“rpcinfo –
p”命令自动获取动态端口号,并在上述iptables规则中运用。

例:允许来自互连网192.168.101.0/24的rsync连接请求

 

18. 允许来自指定互联网的rsync连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

例:允许来自互联网192.168.101.0/24的rsync连接请求

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. 同意来自内定互联网的MySQL连接请求

 

19. 允许来自钦定网络的MySQL连接请求

很多景色下,MySQL数据库与web服务跑在同等台服务器上。有时候大家仅希望DBA和开发人士从内部网络(192.168.100.0/24)直接登录数据库,可尝试以下命令:

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

无数景观下,MySQL数据库与web服务跑在相同台服务器上。有时候大家仅希望DBA和开发人士从中间互连网(192.168.100.0/24)直接登录数据库,可尝试以下命令:

 

19. 同意来自钦命互联网的MySQL连接请求

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

许多处境下,MySQL数据库与web服务跑在一如既往台服务器上。有时候我们仅希望DBA和开发人员从中间网络(192.168.100.0/24)直接登录数据库,可尝试以下命令:

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. 同意Sendmail, Postfix邮件服务

 

20. 允许Sendmail, Postfix邮件服务

Sendmail和postfix都接纳了25端口,因此大家只必要允许来自25端口的连接请求即可。

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

Sendmail和postfix都施用了25端口,由此大家只需求允许来自25端口的总是请求即可。

 

20. 允许Sendmail, Postfix邮件服务

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

Sendmail和postfix都选用了25端口,由此我们只要求允许来自25端口的总是请求即可。

  1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. 允许IMAP和IMAPS

 

21. 允许IMAP和IMAPS

例:允许IMAP/IMAP2流量,端口为143

  1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

例:允许IMAP/IMAP2流量,端口为143

 

21. 允许IMAP和IMAPS

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

例:允许IMAP/IMAP2流量,端口为143

  1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

例:允许IMAPS流量,端口为993

 

例:允许IMAPS流量,端口为993

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

例:允许IMAPS流量,端口为993

  1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. 允许POP3和POP3S

 

22. 允许POP3和POP3S

例:允许POP3访问

  1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

例:允许POP3访问

 

22. 允许POP3和POP3S

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

例:允许POP3访问

  1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

例:允许POP3S访问

 

例:允许POP3S访问

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

例:允许POP3S访问

  1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. 防止DoS攻击

 

23. 防止DoS攻击

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

 

  1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  2. 上述例子中:
  3. -m limit: 启用limit扩展
  4. –limit 25/minute: 允许最多每分钟25个连接(根据需求更改)。
  5. –limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。

23. 防止DoS攻击

  1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  2. 上述例子中:
  3. -m limit: 启用limit扩展
  4. –limit 25/minute: 允许最多每分钟25个连接(根据需求更改)。
  5. –limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。

24. 端口转载

 

24. 端口转发

例:今后自422端口的流量全部转到22端口。 
那象征我们既能通过422端口又能经过22端口举行ssh连接。启用DNAT转载。

  1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  2. 上述例子中:
  3. -m limit: 启用limit扩展
  4. –limit 25/minute: 允许最多每分钟25个连接(根据需求更改)。
  5. –limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。

例:未来自422端口的流量全体转到22端口。 
那意味着大家既能通过422端口又能通过22端口举办ssh连接。启用DNAT转载。

 

24. 端口转载

 

  1. iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

例:今后自422端口的流量全体转到22端口。 
那象征大家既能通过422端口又能通过22端口进行ssh连接。启用DNAT转载。

  1. iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

除此之外,还须要允许连接到422端口的乞请

 

除了,还索要允许连接到422端口的请求

 

  1. iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

除外,还索要允许连接到422端口的呼吁

  1. iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

25. 记录丢弃的数据表

 

25. 笔录丢弃的数据表

先是步:新建名为LOGGING的链

  1. iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

第贰步:新建名为LOGGING的链

 

25. 记下甩掉的数据表

 

  1. iptables -N LOGGING

第二步:新建名为LOGGING的链

  1. iptables -N LOGGING

其次步:将持有来自INPUT链中的数据包跳转到LOGGING链中

 

第①步:将装有来自INPUT链中的数据包跳转到LOGGING链中

 

  1. iptables -N LOGGING

 

  1. iptables -A INPUT -j LOGGING

其次步:将具有来自INPUT链中的数据包跳转到LOGGING链中

  1. iptables -A INPUT -j LOGGING

其三步:为那么些包自定义个前缀,命名为”IPTables Packet Dropped”

 

其三步:为那几个包自定义个前缀,命名为”IPTables Packet Dropped”

 

  1. iptables -A INPUT -j LOGGING

 

  1. iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

其三步:为那个包自定义个前缀,命名为”IPTables Packet Dropped”

  1. iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

第④步:放弃那么些数据包

 

第5步:屏弃那个数据包

 

  1. iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

 

  1. iptables -A LOGGING -j DROP

第⑤步:抛弃这几个数据包

  1. iptables -A LOGGING -j DROP

 

  1. iptables -A LOGGING -j DROP

相关文章