必赢手机app下载 / Blog / 必赢手机app下载 / 二十五个iptables常用示例

二十五个iptables常用示例

本文将交由贰拾肆个iptables常用法规示例,那么些事例为你提供了些基本的模板,您能够依附特定须要对其进展更动调度以高达梦想。  格式

iptables [-t 表名] 选项 [链名] [条件] [-j 调整项目] 参数

 

  1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
  8. -d 匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o 网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如tcp,udp,icmp
  12. --dport num 匹配目标端口号
  13. --sport num 匹配来源端口号

示例

1. 剔除原来就有法则

在开班创建iptables准绳早前,你大概须求删除原来就有法规。

 

  1. 命令如下:
  2. iptables -F
  3. (or)
  4. iptables –flush

2.设置链的私下认可攻略

链的暗许政策设置为”ACCEPT”(接收),若要将INPUT,FORAV4WALX570D,OUTPUT链设置成”DROP”(推却),命令如下:

 

  1. iptables -P INPUT DROP
  2. iptables -P FORWARD DROP
  3. iptables -P OUTPUT DROP

当INPUT链和OUTPUT链都安装成DROP时,对于每四个防火墙法则,我们都应有定义多个准绳。比方:一个传唱另一个传到。在上边所有事例中,由于大家已将DROP设置成INPUT链和OUTPUT链的默许战略,每一个状态大家都将拟订两条准则。当然,假使您相信您的里边客商,则能够简单上边的终极生机勃勃行。举例:私下认可不废弃全部出站的数据包。在此种意况下,对于每三个防火墙准则必要,你只必要制订七个平整——只对进站的数目包制订法规。

3. 阻止钦定IP地址

例:抛弃来自IP地址x.x.x.x的包

 

  1. iptables -A INPUT -s x.x.x.x -j DROP
  2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

例:阻止来自IP地址x.x.x.x eth0 tcp的包

 

  1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
  2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

4. 允许持有SSH的三回九转央浼

例:允许持有来自外界的SSH连接央求,即只同意步向eth0接口,况兼目的端口为22的数据包

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. 仅同意来自钦赐网络的SSH连接需要

例:仅允许来自于192.168.100.0/24域的客商的ssh连接央浼

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6.同意http和https的三番五次须求

例:允许具备来自web – http的连年央求

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

例:允许具备来自web – https的连接供给

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. 行使multiport 将七个规则结合在风度翩翩道

允许多少个端口从外边连入,除了为每种端口都写一条独立的平整外,我们可以用multiport将其组合成一条准则。如下所示: 
例:允许持有ssh,http,https的流量访问

 

  1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. 同意从地点发起的SSH

 

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

请小心,那与允许ssh连入的平整略有分歧。本例在OUTPUT链上,大家允许NEW和ESTABLISHED状态。在INPUT链上,我们只允许ESTABLISHED状态。ssh连入的法规与之相反。

9. 仅同意从地点发起到一个钦点的互连网域的SSH央求

例:仅允许从里面连接到网域192.168.100.0/24

 

  1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. 同意从地面发起的HTTPS连接央求

下边包车型地铁法规允许输出安全的网络流量。要是您想同意客商访问网络,那是老大有要求的。在服务器上,那些准则能让您使用wget从外表下载一些文书

 

  1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

注:对于HTTP
web流量的外联必要,只供给将上述命令中的端口从443改成80就可以。

11. 负载平衡传入的互连网流量

选择iptables能够兑现传入web流量的载重均衡,我们能够流传web流量负载平衡使用iptables防火墙准绳。  例:使用iptables
nth将HTTPS流量负载平衡至多个分裂的ip地址。

 

  1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
  2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
  3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. 同意外界主机ping内部主机

 

  1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. 同意内部主机ping外界主机

 

  1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
  2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. 同意回环访谈

例:在服务器上同意127.0.0.1围绕访谈。

 

  1. iptables -A INPUT -i lo -j ACCEPT
  2. iptables -A OUTPUT -o lo -j ACCEPT

15. 允许内部互连网域外界网络的通讯

防火墙服务器上的此中一个网卡连接到表面,另七个网卡连接到中间服务器,使用以下准绳允许内部互联网与外界网络的通讯。此例中,eth1连采取外界网络(互连网),eth0连选取内部网络(比如:192.168.1.x)。

 

  1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. 同意出站的DNS连接

 

  1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
  2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. 允许NIS连接

假使您利用NIS管理客商帐户,你供给允许NIS连接。如若你不允许NIS相关的ypbind连接诉求,尽管SSH连接伏乞已被允许,客户依然不恐怕登陆。NIS的端口是动态的,先利用命令rpcinfo
–p来驾驭端口号,此例中为853和850端口。  rpcinfo -p | grep ypbind 
例:允许来自111端口以至ypbind使用端口的连接需要

 

  1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
  2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
  3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
  4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
  6. iptables -A INPUT -p udp --dport 850 -j ACCEPT

注:当你重启ypbind之后端口将分化,上述命令将船到江心补漏迟。有三种缓和方案:1)使用你NIS的静态IP
2)编写shell脚本通过“rpcinfo –
p”命令自动获取动态端口号,并在上述iptables法则中利用。

18. 同意来自钦定网络的rsync连接央求

例:允许来自互连网192.168.101.0/24的rsync连接央浼

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. 允许来自钦点网络的MySQL连接须要

洋洋意况下,MySQL数据库与web服务跑在同等台服务器上。有时候我们仅希望DBA和开拓人员从里面网络(192.168.100.0/24)直接登陆数据库,可尝试以下命令:

 

  1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. 允许Sendmail, Postfix邮件服务

Sendmail和postfix都使用了25端口,因而大家只需求允许来自25端口的连接央求就能够。

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. 允许IMAP和IMAPS

例:允许IMAP/IMAP2流量,端口为143

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

例:允许IMAPS流量,端口为993

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. 允许POP3和POP3S

例:允许POP3访问

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

例:允许POP3S访问

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. 防止DoS攻击

 

  1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  2. 上述例子中:
  3. -m limit: 启用limit扩展
  4. –limit 25/minute: 允许最多每分钟25个连接(根据需求更改)。
  5. –limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。

24. 端口转载

例:以后自422端口的流量全部转到22端口。 
那象征我们不只能通过422端口又能透过22端口进行ssh连接。启用DNAT转载。

 

  1. iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

而外,还供给允许连接到422端口的伏乞

 

  1. iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

25. 记录甩掉的数据表

先是步:新建名字为LOGGING的链

 

  1. iptables -N LOGGING

其次步:将富有来自INPUT链中的数据包跳转到LOGGING链中

 

  1. iptables -A INPUT -j LOGGING

其三步:为那一个包自定义个前缀,命名字为”IPTables Packet Dropped”

 

  1. iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

第四步:扬弃那个数据包

 

  1. iptables -A LOGGING -j DROP

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图