2. 程式人生 > >Linux iptables引數詳解

Linux iptables引數詳解

阿新 發佈:2019-01-13
1、下面是我的伺服器/etc/sysconfig/iptables正常的配置,對每一行進行講解 *filter :INPUT ACCEPT [0:0] #該規則表示INPUT表預設策略是ACCEPT,Input: 就是接入本機地址的資料,說白了就是設定別人可以訪問我的那些埠的鏈。舉一個例子:本機開啟了ftp服務,有一個客戶端連線下載ftp資料,那麼這個連線在Input鏈可以進行控制。 :FORWARD ACCEPT [0:0] #該規則表示FORWARD表預設策略是ACCEPT,Forward:是轉發鏈。如果你的機器處於閘道器地址,那麼你可以代理內部網路的機器上Internet的引數就在這裡設定。 :OUTPUT ACCEPT [0:0] #該規則表示OUTPUT表預設策略是ACCEPT,Output:就是從本機出去的資料,就是允許本機出去的埠。例如我可以在Output鏈設定我可以訪問那些地址和那些埠。
 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #對於已經建立連線的資料,是允許訪問的 -A INPUT -p icmp -j ACCEPT #允許icmp協議的訪問,主要就是ping -A INPUT -i lo -j ACCEPT #接受本地的所有請求 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT #允許22埠被外部訪問 -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited # 上面兩條的意思是在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規則的資料包。並且傳送一條host prohibited的訊息給被拒絕的主機。
COMMIT

2、iptables -A 規則鏈 -i 網路介面 -j 對資料的操作

   -A:指定需要新增規則的規則鏈

   -i:指定資料包流入的網路介面
   -p:資料包的協議

   -j:對資料包的處理。ACCEPT/DROP

-s:指定作為源地址匹配,這裡不能指定主機名稱,必須是IP             IP | IP/MASK | 0.0.0.0/0.0.0.0            而且地址可以取反,加一個“!”表示除了哪個IP之外

例如:在INPUT鏈中新增規則,允許eth0介面中來自192.168.1.0/24的所有資料包

 #iptables -A INPUT -i eht0 -s 192.168.1.0/24 -j ACCEPT

3、-m:附加模組

按包狀態匹配(state)
按來源MAC 匹配(mac)
按包速率匹配(limit)

多埠匹配(multiport)
state狀態:
-m state --state 狀態
狀態:NEW、RELATED、ESTABLISHED、INVALID
NEW:有別於tcp 的syn
ESTABLISHED:連線態
RELATED:衍生態,與conntrack 關聯(FTP)
INVALID:不能被識別屬於哪個連線或沒有任何狀態

指定要匹配包的的狀態,當前有4種狀態可用:INVALID,ESTABLISHED,NEW和RELATED。 INVALID意味著這個包沒有已知的流或連線與之關聯,也可能是它包含的資料或包頭有問題。ESTABLISHED意思是包是完全有效的,而且屬於一個已建立的連線,這個連線的兩端都已經有資料傳送。NEW表示包將要或已經開始建立一個新的連線,或者是這個包和一個還沒有在兩端都有資料傳送的連線有關。RELATED說明包正在建立一個新的連線,這個連線是和一個已建立的連線相關的。比如,FTP data transfer,ICMP error 和一個TCP或UDP連線相關。注意NEW狀態並不在試圖建立新連線的TCP包裡尋找SYN標記,因此它不應該不加修改地用在只有一個防火牆或在不同的防火牆之間沒有啟用負載平衡的地方。
4、允許21137埠被訪問: -A INPUT -m state --state NEW -m tcp -p tcp --dport 21137 -j ACCEPT 問:-m tcp代表什麼? 答:你在使用 -p tcp 的時候,需要告訴核心需要載入 tcp 模組
就好比你使用 --state 引數需要載入 state 模組一個道理
只不過 netfilter 和 iptables 已經把 tcp、udp、icmp 這些模組整合進去了,所以不用單獨指定,但為了嚴謹 iptables-save 的時候還是會顯示出來
-p tcp是指按照tcp協議操作
-m tcp是指裝入tcp的協議 5、通過iptables限制9889埠的訪問(只允許192.168.1.201、192.168.1.202、192.168.1.203),其他ip都禁止訪問
iptables -I INPUT -p tcp --dport 9889 -j DROP #對9889的所有埠的訪問進行拒絕
iptables -I INPUT -s 192.168.1.201 -p tcp --dport 9889 -j ACCEPT 
iptables -I INPUT -s 192.168.1.202 -p tcp --dport 9889 -j ACCEPT
iptables -I INPUT -s 192.168.1.203 -p tcp --dport 9889 -j ACCEPT

相關推薦

Linux iptables引數

1、下面是我的伺服器/etc/sysconfig/iptables正常的配置,對每一行進行講解 *filter :INPUT ACCEPT [0:0] #該規則表示INPUT表預設策略是ACCEPT,Input: 就是接入本機地址的資料,說白了就是設定別人可以訪問我

Linux iptables命令

flush lse pri -s als defined ren bsp his iptables命令主要是設置防火墻信息的 常見命令參數 Usage: iptables -[AD] chain rule-specification [options] ipt

Linux iptables 配置

1:檢視本機關於iptables的設定情況 [[email protected] ~]# service iptables status Table: filter Chain INPUT (policy ACCEPT) num target prot opt source

Linux 記憶體引數

【檢視記憶體引數詳解】Linux free -m 詳細說明 free 命令相對於top 提供了更簡潔的檢視系統記憶體使用情況: $ free           &nb

centos 7 下iptables引數

在紅帽RHEL7系統中firewalld服務取代了iptables服務,如果我們不想用或者不習慣使用firewalld服務,請看下面的操作:   iptables命令中則常見的控制型別有: ACCEPT:允許通過. LOG:記錄日誌資訊,然後傳給下一條規則繼續匹配. REJECT

Linux核心引數

核心引數詳解 長期更新 SYN_RECV 服務端收到sys,還未發出syn+ack 1.net.ipv4.tcp_synack_retries 預設值5,linux對應1+2+4+..32=2^6-1=63s 2.net.ipv4.tcp_s

linux網絡防火墻-iptables基礎(重要)

lte 目前 targe udp 安全 們的 tina 設計 常見 一:前言   防火墻,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中,防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底

linuxiptables應用

iptables應用主要包括主機防火牆和網路防火牆 主機防火牆詳解(服務範圍當前主機):         iptables其規則主要作用在“匹配條件”上,具體為各種模組 icmp模組 --icmp-type     

linuxiptables 基礎

一、簡介        iptables是Linux系統上的防火牆,是一個包過濾型的防火牆,能夠根據事先定義好的檢查規則對進出本機或者本地網路的報文進行匹配檢查,並對於能夠被規則匹配的報文作出相應的處理動作。iptables有五個內建規則鏈(名稱需大寫),

linux中mount命令引數 nfs 引數

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

linux每日命令(22):find命令引數

一. name選項 檔名選項是find命令最常用的選項,要麼單獨使用該選項,要麼和其他選項一起使用。 可以使用某種檔名模式來匹配檔案,記住要用引號將檔名模式引起來。 不管當前路徑是什麼,如果想要在自己的根目錄$HOME中查詢檔名符合*.log的檔案,使用~作為 'pathname'引數,波浪號~代表了你的$

linux】Valgrind工具集(八):Memcheck命令列引數

【linux】Valgrind工具集詳解(五):命令列詳解中不夠全,在此專門針對Memcheck工具中的命令列引數做一次詳細的解釋。 Memcheck命令列選項 –leak-check=<no|summary|yes|full> [default: summary]

linux shutdown命令以及引數

在說shutdown命令之前 先說一下sync命令: sync:將記憶體中尚未寫入硬碟的資料寫入硬碟 因為linux為了保證資料讀寫速度,把常用的資料放在記憶體中,不會立即寫入硬碟,如果有不當關機,這些資料就會丟失 所以在執行shutdown、reboot之類的命令之前,應當多執行幾次sync命令來保

linuxIPTABLES配置 linuxIPTABLES配置

linux下IPTABLES配置詳解 如果你的IPTABLES基礎知識還不瞭解,建議先去看看. 開始配置 我們來配置一個filter表的防火牆. (1)檢視本機關於IPTABLES的設定情況 [[email protected]

linux TOP命令各引數【轉載】

實時監控或檢視系統資源使用情況的工具——TOP top命令是Linux下常用的效能分析工具,能夠實時顯示系統中各個程序的資源佔用狀況,類似於Windows的工作管理員. 下面詳細介紹它的使用方法:               &nbs

Linux】DHCP 引數

環境:CentOS 6.5 dhcpd.conf的配置檔案的詳細說明: 1,全域性設定 DDNS更新式的引數:設定DHCP伺服器與DNS伺服器的動態資訊更新模式,一般的DHCP伺服器可以不考慮設定

linux系統下top命令的詳細用法、引數、以及模式配置

用過linux系統的人都知道top命令,它是Linux下一個最常用的效能分析工具,能夠實時顯示系統中各個程序的資源佔用狀況,類似於Windows的工作管理員。 top顯示系統當前的程序和其他狀況,是一個動態顯示過程,即可以通過使用者按鍵來不斷重新整理當前狀態。如果在前臺執行該命令,它

Linux核心調整和核心引數

SYN COOKIE原理和Linux核心中的實現 http://www.ibm.com/developerworks/cn/linux/l-syncookie/?ca=dwcn-newsletter-linux Linux系統下的DDOS攻擊防範 http://hi.baidu.com/mo

linux核心優化,核心引數

轉自百度文庫,最後有一部分修改: 一、前言 本文件針對OOP8生產環境,具體優化策略需要根據實際情況進行調整;本文件將在以下幾個方面來闡述如何針對RedHat Enterprise Linux進行效能優化。 1)       Linux Proc檔案系統,通過對Proc檔案

Linux壓力測試工具stress的引數

為了測試根據伺服器的負載情況,給大家推薦下stress這個壓力測試工具,具體安裝方式就不說了,本文主要介紹下stress的命令引數,大家可以在環境上驗證測試下。 引數說明: -? 顯示幫助資訊 -v 顯示版本號 -q 不顯示執行資訊 -n 顯示已