2. 程式人生 > >Linux學習(二十八)iptables (二) iptables規則語法

Linux學習(二十八)iptables (二) iptables規則語法

阿新 發佈:2017-12-24
star amp accept log saving linux 意思 root bit

查看iptables規則:

[root@ruanwenwu-0002 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1786  140K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0
 
.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
  122 10168 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 
 
0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 1513 packets, 135K bytes)
 pkts bytes target     prot opt 
 
in     out     source               destination

在這條命令中我們沒有指定表名,那麽它顯示的 就是filter表的規則。現在我們還沒有寫任何的規則,那麽它讀取的就是默認的規則。我們可以在/etc/sysconfig/iptables中看到默認的規則。

vim /etc/sysconfig/iptables:

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

指定表:

[root@ruanwenwu-0002 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 49 packets, 4222 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1 packets, 64 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1 packets, 71 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1 packets, 71 bytes)
 pkts bytes target     prot opt in     out     source               destination

清空規則:

[root@ruanwenwu-0002 ~]# iptables -F
[root@ruanwenwu-0002 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 43 packets, 3132 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 29 packets, 2516 bytes)
 pkts bytes target     prot opt in     out     source               destination

清空規則後,如果不保存,重啟後將恢復到原來的規則。

保存:

[root@ruanwenwu-0002 ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  確定  ]
[root@ruanwenwu-0002 ~]# vim /etc/sysconfig/iptables

重啟服務:

[root@ruanwenwu-0002 ~]# service iptables restart
Redirecting to /bin/systemctl restart  iptables.service

將計數器清零:

[root@iZ25lzba47vZ ~]# iptables -nvL
Chain INPUT (policy ACCEPT 18M packets, 2965M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 15M packets, 5501M bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@iZ25lzba47vZ ~]# iptables -Z
[root@iZ25lzba47vZ ~]# iptables -nvL
Chain INPUT (policy ACCEPT 49 packets, 2984 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 33 packets, 2456 bytes)
 pkts bytes target     prot opt in     out     source               destination

添加一條規則:

iptables -A INPUT -s 110.229.26.253 --dport 80 REJECT

這條規則的意思是把進入INPUT鏈的ip是110.229.26.253訪問80端口的請求給拒絕。簡而言之就是不讓這個ip訪問我們的80端口。

刪除上面那條規則:

iptables -D INPUT -s 110.229.26.253 --dport 80 REJECT

除了這樣刪除之外,還有另一種刪除方法:

首先得到這條規則的序號:

[root@iZ25lzba47vZ ~]# iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 2462 packets, 554K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      277 22324 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 20,21,80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2457 packets, 562K bytes)
num   pkts bytes target     prot opt in     out     source               destination

然後根據序列號刪除:

[root@iZ25lzba47vZ ~]# iptables -D INPUT 1
[root@iZ25lzba47vZ ~]# iptables -nvL
Chain INPUT (policy ACCEPT 48 packets, 3008 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 35 packets, 3614 bytes)
 pkts bytes target     prot opt in     out     source               destination

除了用-A來添加規則,我們還可以用-I來添加規則,它的意思是,將規則插入到最前面:

[root@iZ25lzba47vZ ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP
[root@iZ25lzba47vZ ~]# iptables -nvL
Chain INPUT (policy ACCEPT 71 packets, 4425 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   74  6216 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 55 packets, 11135 bytes)
 pkts bytes target     prot opt in     out     source               destination

這條規則的作用是不讓別人Ping你的機器。

看看前後Ping的狀態:

#設置iptables之前
[root@ruanwenwu-0002 ~]# ping 101.200.168.135
PING 101.200.168.135 (101.200.168.135) 56(84) bytes of data.
64 bytes from 101.200.168.135: icmp_seq=1 ttl=128 time=16.1 ms
64 bytes from 101.200.168.135: icmp_seq=2 ttl=128 time=13.7 ms
64 bytes from 101.200.168.135: icmp_seq=3 ttl=128 time=13.2 ms
^C
--- 101.200.168.135 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 13.252/14.370/16.135/1.262 ms
#設置之後
[root@ruanwenwu-0002 ~]# ping 101.200.168.135
PING 101.200.168.135 (101.200.168.135) 56(84) bytes of data.

設置鏈的默認狀態:

[root@iZ25lzba47vZ ~]# iptables -P INPUT ACCEPT
[root@iZ25lzba47vZ ~]# iptables -nvL
Chain INPUT (policy ACCEPT 45 packets, 2732 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  212 17808 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 31 packets, 3454 bytes)
 pkts bytes target     prot opt in     out     source               destination

Linux學習(二十八)iptables (二) iptables規則語法

相關推薦

Linux學習系統日誌

them 故障 linux學習 format nco kernel cgroup package 很多 一、前言 linux的系統日誌用的不多,我們就挑幾個比較常用的大概講一下。 二、分類講解 2.1 /var/log/messages 這是個雜項日誌,記錄很多服務的日誌。

數據結構平衡叉樹AVL樹

圖1 建立 滿足 技術分享 factor 這也 絕對值 因此 調整   一、平衡二叉樹的定義   平衡二叉樹(Self-Balancing Binary Search Tree或Height-Balanced Binary Search Tree),是一種二叉排序樹,其中每

Linux學習

第十週學習內容:HTTPD 第十週作業: 1、Centos7系統下實現httpd的安裝,並分別實現prefork、worker、event等幾種工作方式。       http協議接受請求的模型可以分為單程序I/0模型,啟動一個程序處理一個使用者的請

前端學習 DOM-HTTPDom

HTTP 全稱:Hypertext Transfer Protocol,超文字傳輸協議 應用層協議 基於TCP/IP 規定了客戶端與伺服器的資料通訊格式 用於傳輸超媒體文件 HTTP會話流程 建立連結 傳送請求,等待應答 處理請求,返

Linux學習四周

第十四周學習內容:lvs和nginx 第十四周作業: 1、簡述LVS排程方案及應用場景 。       LVS的排程方案根據其排程時是否考慮伺服器當前的負載情況可分為靜態和動態。搭建環境,共三臺主機,其中一臺主機執行LVS作為排程器,另外兩

深度學習darknet使用

這幾天因為要對yolo進行重新訓練,需要用到imagenet pretrain,由於網路是自己設計的網路,所以需要先在darknet上訓練imagenet,由於網上都沒有相關的說明教程,特別是圖片路徑是怎麼和類別標籤對應起來的,讓我百思不得其解,所以最後就自己去查看了dark

salesforce零基礎學習Type淺談

在Salesforce的世界,凡事皆Metadata。 先通過一句經常使用的程式碼帶入一下: Account accountItem = (Account)JSON.deserialize(accountString,Account.class); 這種程式碼相信大部分開發都會寫過,前臺將資料序列化,通過

salesforce零基礎學習Salesforce Connect & External Object

本篇參考: https://trailhead.salesforce.com/en/content/learn/modules/lightning_connect https://help.salesforce.com/articleView?id=platform_connect_about.htm&

Linux學習iptables () iptables規則語法

star amp accept log saving linux 意思 root bit 查看iptables規則: [root@ruanwenwu-0002 ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets,

Linux學習筆記awk

awkhead -n2 test.txt|awk -F ‘:‘ ‘{print $1}‘ //文件的前兩行,以:分隔,打印第一段 head -n2 test.txt|awk -F ‘:‘ ‘{print $0}‘ //文件的前兩行,以:分隔,打印所有的內容($N就是第N段,0就是所有字段)

Linux學習總結 數據同步工具 rsync

rsyncrsync是linux系統下的數據鏡像備份工具。使用快速增量備份工具Remote Sync可以遠程同步,支持本地復制,或者與其他SSH、rsync主機同步。 rsync格式 rsync [OPTION] … SRC DEST rsync [OPTION] … SRC [user@]host:

【轉】JMeter學習內存溢出解決方法

不能 -xms 百度 解決 code apache 超過 軟件測試 內存 使用jmeter進行壓力測試時遇到一段時間後報內存溢出outfmenmory錯誤,導致jmeter卡死了,先嘗試在jmeter.bat中增加了JVM_ARGS="-Xmx2048m -Xms2048m

Python學習筆記多線程

oop 模擬 筆記 標準庫 函數 只需要 pre 開始 print 摘抄自:https://www.liaoxuefeng.com/wiki/0014316089557264a6b348958f449949df42a6d3a2e542c000/001431928238187

Linux學習screen

oot mst tail pre linux article col install vmstat screen概述 我們可以將screen看成一個子窗口,我們可以通過命令將這個子窗口放入後臺運行而不關閉它。當我們有需要時,我們還可以將它調出來。 screen使用 安裝

Linux學習總結lamp之php擴展模塊安裝

lamp php php擴展模塊 php動態模塊是一個可以看的見的以.so結尾的文件,可以根據需要加載使用。靜態模塊跟隨php一起啟動,看不到文件。php一旦編譯完成,要想再增加一個功能模塊的話,要麽重新編譯php,要麽直接編譯一個擴展模塊,然後在php.ini中配置一下就可以被加載使用。/usr

Linux學習總結xftp 和pure-ftpd

xftp pure-ftpd 1.xftp 介紹 xftp安裝在windos上,可以和linux系統互傳文件,它支持sftp協議,是一款輕量級且比較安全的文件傳輸軟件。 xftp安裝後默認是關聯到xshell上面的,因此使用非常方便。我們用xshell連接linux系統後,只要安裝好xftp,就可以直

Spark學習之路 分布式圖計算系統

尺度 內存 底層 mapr 分區 ces 兩個 傳遞方式 cat 一、引言   在了解GraphX之前,需要先了解關於通用的分布式圖計算框架的兩個常見問題:圖存儲模式和圖計算模式。 二、圖存儲模式   巨型圖的存儲總體上有邊分割和點分割兩種存儲方式。2013年,Gra

python學習URL編碼和解碼&簽名規則需求練習

ufw utf rem n) obj split color sea 輸入 1、url編碼和url解碼 打開瀏覽器,輸入"python基礎教程",點擊搜索後,地址欄會有一長串的類似於 %DFBGN這種 就是url編碼對應的搜索內容,具體如下: https://www.so.

Linux學習總結shell腳本2-邏輯判斷if

if case 1 三種基本if語句 格式1:if 條件 ; then 語句; fi #!/bin/bash a=5 if [ $a -gt 2 ]; then echo $a fi 執行結果為 5格式2:if 條件; then 語句; else 語句; fi #!/bin/bash a=5 if

Linux學習總結文本編輯腳本

追加 else 直接 另一個 then 總結 定向 結束 into 有時候我們要借助腳本來編輯文本,請看下面的題目。題目要求:在文本文檔1.txt第五行(假設文件行數大於5)後面增加如下兩行內容:# This is a test file.# Test insert lin