iptables 常用規則使用例項
| 導讀 | 在本文中列出了一些實用的iptables規則,可以參考。 |
使用下面幾個 可以清空iptables表:
# 使用-t選項選擇哪個表,表有filter, nat , mangle三個表 iptables -t filter -F iptables -t filter -X iptables -t filter -Z
-F清空所有鏈的規則,
-X刪除自定義的鏈,
-Z清空資料包流量。
預設鏈策略是ACCEPT。對於所有INPUT,FORWARD和OUTPUT鏈,將其更改為DROP,如下所示:
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARDING DROP
將INPUT和OUTPUT鏈的預設策略都設定為DROP時,對每個防火牆規則要求,都應定義兩個規則,一個用於INPUT,一個用於OUTPUT。
如果信任內部使用者,則可以省略上面的OUTPUT。即預設情況下不丟棄所有OUTPUT資料包。在這種情況下,對於擁有的每個防火牆規則要求,只需定義一個規則即可。即只為INPUT定義規則,因為所有資料包的傳出都是ACCEPT。
BLOCK_THIS_IP="x.x.x.x" iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP 或者 iptables -A INPUT -i ens160 -s "$BLOCK_THIS_IP" -j DROP 或者 iptables -A INPUT -i ens160 -p tcp -s "$BLOCK_THIS_IP" -j DROP
定義一個變數,值寫入要阻止的ip地址。上面第一條規則的意思是從某個ip進入的流量拒絕掉。第二條規則是阻止某個ip地址從eth0進入的流量。第三條規則指的是拒絕某個ip地址從eth0進入訪問tcp協議的流量。
以下規則允許ens160介面上的所有傳入的ssh連線。
iptables -A INPUT -i ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
下面是允許指定網段的ip地址連線本機的ssh服務:
iptables -A INPUT -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
以下規則允許傳出ssh連線。當從內部ssh連線到外部伺服器時可以使用:
iptables -A OUTPUT -o ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
下面使用
multiport模組,可以減少寫入規則條數。下面例項允許外部訪問本機的http,https服務。
iptables -A INPUT -i ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
下面 允許本機訪問外面的http,https服務:
iptables -A OUTPUT -o ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
以下規則允許外部使用者能夠ping你的伺服器:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
以下規則允許從內部ping到任何外部伺服器:
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
下面規則將幫助你預防Web伺服器上的拒絕服務(DoS)攻擊:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
- -m limit:使用limit模組
- --limit 25/minute:此限制每分鐘最多25個連線。根據具體要求更改此值
- --limit-burst 100:該值表示只有在連線總數達到limit-burst級別後,才執行limit 25/minute。
在本文中列出了一些實用的iptables規則,可以參考。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2760759/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 25個常用的Linux iptables規則Linux
- Debian使用iptables-persistent持久化iptables規則持久化
- iptables防火牆規則防火牆
- iptables詳解及docker的iptables規則Docker
- FreeSWITCH測試撥號規則例項
- 例項QT程式 —— Qt單例不規則介面程式QT單例
- 20條IPTables防火牆規則用法!防火牆
- Linux IPTables:如何新增防火牆規則Linux防火牆
- AWS EC2 例項型別命名規則型別
- 詳解網路知識:iptables規則
- nmap命令常用例項
- Ubuntu系統iptables規則的檢視和清除Ubuntu
- 正則式 REGEX - 例項
- HTML基本語法和語義寫法規則與例項HTML
- 資料包如何遊走於 Iptables 規則之間?
- linux系統中檢視己設定iptables規則Linux
- java中String類常用方法的使用與例項Java
- iptables防火牆簡介,原理,規則編寫,常見案例防火牆
- CSS-@規則(At-rules)常用語法使用總結CSS
- laravel: 常用的驗證規則Laravel
- Between validator常用驗證規則
- Yii2 rules常用規則
- RAP簡介教程&常用規則
- 正規表示式例項蒐集,通過例項來學習正規表示式。
- pinctrl使用例項
- expect使用例項
- msfvenom使用例項
- 房屋建造例項對映出的使用者體驗原則
- python正規表示式 小例幾則Python
- tunna工具使用例項
- awk命令使用例項
- restorecon 命令使用例項REST
- Tee命令使用例項
- Java 正規表示式例項操作Java
- js Abba逆向前瞻正則匹配例項JS
- 設計模式 - 原則及例項講解設計模式
- 前端Vue中常用rules校驗規則前端Vue
- 資料庫正規化與例項資料庫