Always been imitated
Never surpassed

iptbables常用规则说明

IPTABLES基础知识

查看本机关于IPTABLES

iptables -L -n

清除原有规则

iptables -F        清除预设表filter中的所有规则链的规则

iptables -X        清除预设表filter中使用者自定链中的规则

/etc/rc.d/init.d/iptables save  保存配置

设定预设规则

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过

添加规则

直接编辑vi /etc/sysconfig/iptables  添加规则或使用:
i示例:
iptables -P INPUT DROP #设置预装禁止,然后添加放行即可
iptables -A INPUT -s 118.114.245.37 -p tcp –dport 22000 -j ACCEPT
iptables -A INPUT -s 118.114.245.37 -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -s 118.114.245.1/24 -p tcp –dport 80 -j DROP
iptables -A INPUT -p tcp –dport 3306 -s 192.168.137.34 -d 192.168.137.34 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 80 -m string –algo kmp –string “xxx.com” -j DROP #其实可以不用加,因为默认全部禁止了
iptables -A INPUT -p udp -m udp –sport 53 -j ACCEPT

指定行插入规则

iptables -I INPUT 1 -p tcp –dport 443 -j ACCEPT

插入到INPUT 第一行

减少不安全的端口连接
[root@tp ~]# iptables -A OUTPUT -p tcp –sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp –dport 31337 -j DROP

允许192.168.0.3的机器进行SSH连接

iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT

FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT

丢弃坏的TCP包

iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP

处理IP碎片数量,防止攻击,允许每秒100个

iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包

iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT

配置一个NAT表放火墙

查看本机关于NAT的设置

iptables -t nat -L

清除命令

iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗

iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

禁止与211.101.46.253的ftp连接

iptables -t nat -A PREROUTING    -p tcp –dport 21 -d 211.101.46.253 -j DROP

删除iptables 规则

vi vi /etc/sysconfig/iptables 删除

iptables -A INPUT -s 192.168.0.0/16 -d 192.168.238.134 -p tcp –dport 3306 -j ACCEPT 添加

iptables -D INPUT -s 192.168.0.0/16 -d 192.168.238.134 -p tcp –dport 3306 -j ACCEPT 删除

iptables -L -n 显示规则查看均正常,还是不通时,可以查看/etc/sysconfig/iptables ,

ipbales有四个表 :filter,nat,mangle,raw 默认表是filter,表的处理优先级:raw> mangle >nat> filter

注意:先保存规则,然后重启iptables 才会生效

赞(0)
@请尊重原创,未经允许不得转载:军S小站 » iptbables常用规则说明

抢沙发

评论前必须登录!

 

智慧源于勤奋,伟大出自平凡

联系我们