防火墙iptables 应用

本文涉及的产品
云防火墙,500元 1000GB
简介:

iptables基本语法格式
iptables -t表名 命令选项 链名 条件匹配 -j目标动作或跳转
-A 在指定链的末尾添加一条规则
-D 删除指定链中某一条规则,按规则号或内容确定要删除的规则
-I 在指定链中插入一条新规则,若未指定插入位置,默认在链的开头
-R 修改、替换指定链中的一条规则,按规则号或内容确定要替换的规则
-L 列出指定链中所有规则进行查看,未指定链名,列出所有链
-F 清空指定链中所有规则,若未指定链名,则清空表中所有链内容
-N 新建一条用户自定义规则链
-X 删除表中用户自定义规则链
-P 设置指定链的默认策略 
-n 使用数字形式显示输出信息,如显示IP非主机名
-v 查看规则列表时显示的详细信息
-V 查看版本信息
-h 查看命令帮助信息
--line-numbers 查看规则列表时,显示规则在链中的顺序号

具体应用 
A.删除、清空规则
1.删除filter表INPUT链的第二条规则
iptables -D INPUT 2
2.不指定表名,默认清空filter表
iptables -F
3.清空nat/mangle表所有规则
iptables -t nat -F
iptables -t mangle -F
4.删除filter中使用者自定义的规则链
iptables -X

B.设置规则链的默认策略
1.将filter表中FORWARD规则的默认策略设定为DROP
iptables -t filter -P FORWARD DROP
2.将filter表中OUTPUT规则默认策略设置为ACCEPT
iptables -P OUTPUT ACCEPT

C.查看、替换规则
1.将INPUT链中原来编号为3的规则内容替换为 -j ACCEPT。注意编号3规则需要存在,否则报错
iptables -R INPUT 3 -j ACCEPT


2.查看filter表中INPUT链中的所有规则,同时显示各规则顺序号
iptables -L INPUT --line-numbers


3.-L需要放在最后,以数字形式显示地址和端口号
iptables -nvL

D.具体的规则匹配
1.丢弃从外网接口eth1进入防火墙本机的源地址为私网地址的数据(默认通过)
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
2.某个网段扫描主机,希望封堵IP地址段,两小时后解封
iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -I FORWARD -s 10.20.30.0/24 -j DROP
#at now +2 hours
at>iptables -D INPUT 1
at>iptables -D FORWARD 1
at>EOF
3.拒绝转发来自192.168.1.11主机的数据
iptables -A FORWARD -s 192.168.1.11 -j REJECT
4.允许转发来自192.168.0.0/24网段的数据
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
5.允许或拒绝ipcp 数据包   协议匹配
iptables -I INPUT -p icmp -j REJECT/ACCEPT
6.允许转发除icmp以外所有数据包 !取反
iptables -I INPUT -p !icmp -j ACCEPT
7.允许202.13.0.0/16用SSH远程登陆防火墙主机 端口匹配
iptables -A INPUT -p tcp--dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp--dport 22 -j DROP
8.允许本机开放从TCP端口20-1024提供的服务 端口匹配
iptables -A INPUT -p TCP --dport 20:1024  -j ACCEPT
iptables -A OUTPUT -p TCP --sport 20:1024  -j ACCEPT
9.允许转发来自192.168.0.0/24网络的DNS解析 端口匹配
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.0/24 --sport 53 -j ACCEPT
10.拒绝从外网接口eth1直接访问防火墙本机数据包,但是允许相应防火墙TCP请求的数据包进入 TCP标记匹配
iptables -P INPUT DROP
iptables -I INPUT -i eth1 -p tcp--tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -I INPUT -i eth1 -p tcp--tcp-flags!--syn -j ACCEPT
11.禁止其它主机ping防火墙主机,但是允许从防火墙上ping其它主机,允许接收ICMP回应数据 ICMP类型匹配
iptables -A INPUT -p icmp--icmp-type Echo-Request -j DROP
iptables -A INPUT -p icmp--icmp-type Echo-Replay -j ACCEPT
iptables -A INPUT -p icpm--icmp-type destination-Unreachable -j ACCEPT
Echo-Request 数字代码为8 ,请求
Echo-Replay 数字代码为0.回显
destination-Unreachable .3  目标不可到达
 

 导出、导入防火墙规则
1.iptables-save   
把当前设置的防火墙规则信息输出到终端  将当前调试好的 iptables规则保存到配置文件,并通过 iptables服务脚本自动加载 
# iptables-save > /etc/sysconfig/iptables  或  service iptables save 
# service iptables restart 
# chkconfig - -level 35 iptables on 
 
2.iptalbes-restore   
从已保存的配置文件中导入 iptables规则 
# iptables-retore < /etc/sysconfig/iptables

本文转自  还不算晕  51CTO博客,原文链接:http://blog.51cto.com/haibusuanyun/761852

相关文章
|
7月前
|
供应链 安全 应用服务中间件
防火墙是什么?聊聊如何轻松缓解应用漏洞
防火墙是什么?聊聊如何轻松缓解应用漏洞
76 6
|
安全 Linux 网络安全
百度搜索:蓝易云【linux iptables安全技术与防火墙】
请注意,iptables的具体使用方法和配置选项可能会有所不同,取决于Linux发行版和版本。管理员应该参考相关文档和资源,以了解适用于其特定环境的最佳实践和配置方法。
495 0
百度搜索:蓝易云【linux iptables安全技术与防火墙】
|
网络协议 Linux 网络安全
小白也能看懂的 iptables 防火墙
iptables是Linux中功能最为强大的防火墙软件之一 是一个在 Linux 系统上常用的防火墙工具,用于配置和管理网络数据包过滤规则。它可以通过定义规则集来控制进出系统的网络流量,实现网络安全策略
393 5
|
13天前
|
Kubernetes 安全 Devops
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
37 10
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
|
3月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
242 73
|
4月前
|
安全 网络安全 数据库
信息安全:防火墙技术原理与应用.
信息安全:防火墙技术原理与应用.
103 3
|
4月前
|
机器学习/深度学习 运维 监控
信息安全:入侵检测技术原理与应用.(IDS)
信息安全:入侵检测技术原理与应用.(IDS)
190 1
|
4月前
|
监控 安全 网络安全
|
4月前
|
SQL 监控 安全
|
4月前
|
存储 网络协议 Ubuntu
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
56 0