linux中iptables常用方法有哪些
这篇文章主要介绍linux中iptables常用方法有哪些,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!
iptables其实是一个命令行工具,可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。
1、清空数据包流量、清空链、清空规则
使用下面几个命令可以清空iptables表:
# 使用-t选项选择哪个表,表有filter, nat , mangle三个表iptables -t filter -Fiptables -t filter -Xiptables -t filter -Z-F清空所有链的规则,-X删除自定义的链,-Z清空数据包流量。
2、设置默认策略
默认链策略是ACCEPT。对于所有INPUT,FORWARD和OUTPUT链,将其更改为DROP,如下所示:
iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARDING DROP将INPUT和OUTPUT链的默认策略都设置为DROP时,对每个防火墙规则要求,都应定义两个规则,一个用于INPUT,一个用于OUTPUT。
如果信任内部用户,则可以省略上面的OUTPUT。即默认情况下不丢弃所有OUTPUT数据包。在这种情况下,对于拥有的每个防火墙规则要求,只需定义一个规则即可。即只为INPUT定义规则,因为所有数据包的传出都是ACCEPT。
3、阻止指定的IP地址进入
BLOCK_THIS_IP="x.x.x.x" iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP或者iptables -A INPUT -i ens160 -s "$BLOCK_THIS_IP" -j DROP或者 iptables -A INPUT -i ens160 -p tcp -s "$BLOCK_THIS_IP" -j DROP定义一个变量,值写入要阻止的ip地址。上面第一条规则的意思是从某个ip进入的流量拒绝掉。第二条规则是阻止某个ip地址从eth0进入的流量。第三条规则指的是拒绝某个ip地址从eth0进入访问tcp协议的流量。
4、允许外部用户ssh登录本机
以下规则允许ens160接口上的所有传入的ssh连接。
iptables -A INPUT -i ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT下面是允许指定网段的ip地址连接本机的ssh服务:
iptables -A INPUT -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT5、允许本机使用ssh登录远程主机
以下规则允许传出ssh连接。当从内部ssh连接到外部服务器时可以使用:
iptables -A OUTPUT -o ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT6、使用multiport模块,允许外部访问本机的80,443
下面使用multiport模块,可以减少写入规则条数。下面实例允许外部访问本机的http,https服务。
iptables -A INPUT -i ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
7、允许本地访问外部的http,https服务
下面命令允许本机访问外面的http,https服务:
iptables -A OUTPUT -o ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
8、允许外部ping本机
以下规则允许外部用户能够ping你的服务器:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
9、允许本机ping外部
以下规则允许从内部ping到任何外部服务器:
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
10、防DDOS攻击
下面规则将帮助你预防Web服务器上的拒绝服务(DoS)攻击:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT-m limit:使用limit模块 -limit 25/minute:此限制每分钟最多25个连接。根据具体要求更改此值 -limit-burst 100:该值表示只有在连接总数达到limit-burst级别后,才执行limit 25/minute。
以上是“linux中iptables常用方法有哪些”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注编程网行业资讯频道!
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
