1、 查询iptables服务器是否安装
2、 安装iptables
3、 查看iptables已有规则
-I表示查看
4、 清空iptables已有规则
-F表示清空
5、 设置iptables默认策略为拒绝
-P表示默认
6、 设置iptables默认策略为允许
7、 设置对所有的ping操作的策略为允许
Ping操作依赖ICMP
-I表示添加规则到头部
-p表示要应对的协议
-j表示应当的策略行为
8、 在OUTPUT规则链添加策略到末尾,允许其他没有被匹配的数据包
-A表示添加规则到末尾
没有指定要对应的数据包时哪一种具体的就省略
9、 作为网关服务器禁止来自192。168.1.0/24网段的主机接入外网
拒绝某主机或对应网段接入外网,即不转发来自该地址的数据包,所以规则链选择FOR-WARD,
-s表示要对应的的数据包的源地址
10、 作为网关服务器禁止内网主机访问www.qq.com
要禁止内网主机访问www.qq.com,那么将目的地址时www.qq.com的数据包全部不转发即可,所以规则链选择FORWARD
-d表示要对应的数据包的目的地址
11、 禁止通过网卡eth1访问本机的FTP服务
要禁止通过网卡eth1访问本机的FTP服务,只需要在接收数据包时丢弃掉从网卡儿童和进来的FTP服务数据包即可,二FTP服务依赖TCP协议占用20喝1端口,所以策略要应对的数据包就是来自网卡eth1d TCP协议的端口21的数据包
-i表示对应的网卡流入
-p表示协议
-dport表示端口
12、 只允许来自192.168.1.1的主机ping本机
首先,允许192.168.1.1的主机ping 本机,即在INPUT规则链里房屋来自192.168.1.1的协议为ICMP的数据包
其次,因为是只允许,所以对其余的主机要做拒绝,二拒绝要做在允许之后,所以第二条命令使用-A 添加到规则链末尾
13、 禁止所有人访问本机的13660端口
要禁止所有人访问本机的13660端口,即将接收到的端口为3660的数据包全部丢弃,所以需要同时对TCP协议和UDP协议做出拒绝
-p表示协议
-dport表示目标端口
14、 禁止本服务器从13555端口向外发送数据包
要禁止本服务器从13555端口向外发送数据包,即源端口13555流出的TCP和UDP的数据包全部丢弃,所以选择OUTPUT规则链
-sport表示源端口
