iptables四表五链
规则链名(也被称为五个钩子函数(hookfunctions)):
INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
FORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。
Linuxiptables命令讲解-Linux之iptables超详细教程
查看iptables规则
iptables-L#查看iptables规则
iptables-L-vn#查看iptables规则(详细信息)
清空iptables规则
iptables-F#清除所有规则,不会处理默认的规则
iptables-X#删除用户自定义的链
iptables-Z#链的计数器清零(数据包计数器与数据包字节计数器)
添加iptables规则
iptables-t#指定表(default:`filter')
iptables-A#把规则添加到指定的链上,默认添加到最后一行
iptables-I#插入规则,默认插入到第一行(封IP)
iptables-D#删除链上的规则
删除某条iptables规则
iptables-nL--line-numbers#查看规则号码
iptables-DINPUT1#删除指定链上的指定序号
配置允许ssh端口连接
iptables-AINPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT
22为你的ssh端口,-s192.168.1.0/24表示允许这个网段的机器来连接,其它网段的ip地址是登陆不了你的机器的。-jACCEPT表示接受这样的请求
允许本地回环地址可以正常使用
iptables-AINPUT-ilo-jACCEPT
iptables-AOUTPUT-olo-jACCEPT
#本地圆环地址就是那个127.0.0.1,是本机上使用的,它进与出都设置为允许
设置默认规则
iptables-PINPUTDROP#配置默认的不让进
iptables-PFORWARDDROP#默认的不允许转发
iptables-POUTPUTACCEPT#默认的可以出去
配置白名单
iptables-AINPUT-pall-s192.168.1.0/24-jACCEPT#允许机房内网机器可以访问
iptables-AINPUT-pall-s192.168.140.0/24-jACCEPT#允许机房内网机器可以访问
iptables-AINPUT-ptcp-s183.121.3.7--dport3380-jACCEPT#允许183.121.3.7访问本机的3380端口
开启相应的服务端口
iptables-AINPUT-ptcp--dport80-jACCEPT#开启80端口,因为web对外都是这个端口
iptables-AINPUT-picmp--icmp-type8-jACCEPT#允许被ping
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT#已经建立的连接得让它进来
禁止某个IP访问
iptables-IINPUT-ptcp-s192.168.1.253-iens33-jDROP
iptables-AINPUT-ptcp!-s192.168.1.1-iens33-jDROP
iptables-AINPUT-ptcp!-s192.168.1.0/24-iens33-jDROP
匹配端口范围
iptables-IINPUT-ptcp-mmultiport--dport21,22,23,24-jDROP$iptables-IINPUT-ptcp--dport3306:8809-jACCEPT
iptables-IINPUT-ptcp--dport18:80-jDROP$iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT
#允许本地回环接口(即运行本机访问本机)
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT#允许已建立的或相关连的通行
iptables-AOUTPUT-jACCEPT#允许所有本机向外的访问
iptables-AINPUT-ptcp--dport22-jACCEPT#允许访问22端口
iptables-AINPUT-ptcp--dport80-jACCEPT#允许访问80端口
iptables-AINPUT-ptcp--dport21-jACCEPT#允许ftp服务的21端口
iptables-AINPUT-ptcp--dport20-jACCEPT#允许FTP服务的20端口
iptables-AINPUT-jreject#禁止其他未允许的规则访问
iptables-AFORWARD-jREJECT#禁止其他未允许的规则访问
|