Linux中iptables防火牆的簡單配置
1.清除filter中所有規則鏈的規則
# iptables -F
2.設定INPUT鏈的策略
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -s 10.10.10.10 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
這裡的IP地址10.10.10.10表示源地址,也就是要訪問伺服器的客戶端地址,--dport 22是指開放的伺服器的埠號,22是SSH的埠。
最後再在INPUT鏈中加入reject,拒絕未指明的所有其它的埠。
# iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
3.列出表/鏈中的所有規則
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:1521
ACCEPT udp -- 10.10.10.10 anywhere state NEW udp dpt:snmp
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
以上資訊表示在INPUT鏈中,允許IP地址為10.10.10.10的使用者連線到本伺服器的22、1521TCP埠和161UDP(snmp)埠,其它所以埠均關閉。
4.增加INPUT鏈的策略
# iptables -A INPUT -s 10.10.10.11 -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT
這裡表示增加了一個IP地址為10.10.10.11、1521TCP埠的訪問策略;
# iptables -A INPUT -s 10.10.10.12 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
這裡表示增加了一個IP地址為10.10.10.12、80TCP埠的訪問策略;
5.插入INPUT鏈的策略
# iptables -I INPUT 3 -s 10.10.10.12 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
由於上面例子中INPUT鏈的最後有REJECT,所以要想讓策略生效就必須在REJECT之前插入,這裡例子中INPUT 3是指在鏈中的第三個位置插入策略。
6.替換INPUT鏈的策略
# iptables -R INPUT 3 -s 10.10.10.13 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
這裡是對INPUT鏈的第三個位置的策略的替換,修改三號位置的IP地址。
下面讓我們看看INPUT鏈的簡單操作:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere (INPUT鏈的第一號位置)
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:1521
ACCEPT udp -- 10.10.10.10 anywhere state NEW udp dpt:snmp
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
# iptables -I INPUT 3 -s 10.10.10.12 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.10.12 anywhere state NEW tcp dpt:ssh (INPUT鏈的第三號位置)
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:1521
ACCEPT udp -- 10.10.10.10 anywhere state NEW udp dpt:snmp
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
# iptables -R INPUT 3 -s 10.10.10.13 -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.10.13 anywhere state NEW tcp dpt:1521
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 10.10.10.10 anywhere state NEW tcp dpt:1521
ACCEPT udp -- 10.10.10.10 anywhere state NEW udp dpt:snmp
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/17997/viewspace-260235/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- iptables 配置LINUX防火牆Linux防火牆
- linux防火牆iptablesLinux防火牆
- Linux 自帶防火牆 Iptables 基本配置Linux防火牆
- iptables配置-Linux系統安全防火牆Linux防火牆
- 防火牆IPTABLES防火牆
- Linux 防火牆配置(iptables和firewalld)詳細教程。Linux防火牆
- Linux設定防火牆iptablesLinux防火牆
- Linux 防火牆 學習 iptablesLinux防火牆
- 阿里雲Centos配置iptables防火牆阿里CentOS防火牆
- Linux基礎命令---iptables防火牆Linux防火牆
- CentOS 7 以上防火牆簡單配置CentOS防火牆
- CentOS 7 Docker 防火牆簡單配置CentOSDocker防火牆
- iptables.sh 初始化防火牆配置防火牆
- 使用netfilter/iptables配置防火牆(轉)Filter防火牆
- Linux防火牆iptables實用設定Linux防火牆
- Linux 防火牆開放特定埠 (iptables)Linux防火牆
- 使用iptables建置Linux 防火牆(2)(轉)Linux防火牆
- 使用iptables建置Linux 防火牆(3)(轉)Linux防火牆
- Iptables防火牆應用防火牆
- iptables防火牆規則防火牆
- 防火牆iptables 設定防火牆
- 動態iptables 防火牆防火牆
- linux系統中個人防火牆iptables的詳細教程Linux防火牆
- linux 防火牆配置Linux防火牆
- Linux 配置防火牆Linux防火牆
- Linux IPTables:如何新增防火牆規則Linux防火牆
- Linux防火牆之IPtables概念與用法(轉)Linux防火牆
- 基於iptables防火牆堵漏防火牆
- Centos iptables防火牆設定CentOS防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- iptables實用知識 ,一文學會配置linux防火牆Linux防火牆
- CentOS 中 iptables 和 firewall 防火牆的相關命令CentOS防火牆
- Linux 防火牆:關於 iptables 和 firewalld 的那些事Linux防火牆
- Linux 防火牆配置使用Linux防火牆
- 防火牆-簡單瞭解防火牆
- Linux系統iptables與Firewalld防火牆區別?Linux防火牆
- 嵌入式Linux可用的防火牆——iptables:實現ip白名單、mac地址白名單Linux防火牆Mac