iptables常用的規(guī)則設(shè)定

iptables 4個(gè)表和5個(gè)漣

iptables 顯示相關(guān)的命令

iptables -L -n -x -v

查看iptables的status 為Firevall is stopped 解決： Linux命令行輸入 step --Firevall configuration--enable

清除默認(rèn)的規(guī)則

iptables -F 等價(jià)于iptables --flush//清除所有的規(guī)則

iptables -X 等價(jià)于iptables --delete-chain//刪除用戶自定義規(guī)則

iptables -Z 等價(jià)于iptables --zero//鏈的計(jì)數(shù)器清零

提示:默認(rèn)情況下，我們的清除規(guī)則實(shí)際是對(duì)filter表的操作，如果是nat表，需要iptables -t nat -F

ACCEPT(接受) DROP(丟棄) REJECT(拒絕)

iptables是在系統(tǒng)內(nèi)核中運(yùn)行的。檢查基本相關(guān)的內(nèi)核模塊

modprobe ip_tables

modprobe iptable_filter

modprobe iptable_nat

modprobe ip_conntrack

modprobe conntrack_ftp

modprobe ip_nat_ftp

modprobe ipt_state

lsmod | grep ip

1.關(guān)閉ssh 的22 端口關(guān)閉

開(kāi)啟關(guān)閉22端口

Iptables  -A INPUT –p tcp –dport 22 –j DROP

刪除22這條規(guī)則

iptables -D INPUT -p tcp --dport 22 -j DROP 

刪除根據(jù)行號(hào)(iptables -D INPUT 1)

iptables -L -n --line-numbers(顯示行號(hào))

禁止10.0.0.0/24網(wǎng)段連入

 iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP

刪除禁止源地址10網(wǎng)段的命令

iptables -D INPUT -i eth0 -s 10.0.0.0/24 -y DROP

封一個(gè)ip 

iptables -I INPUT -p tcp  -s  10.0.0.101 -j DROP

禁止目的端口為22端口的數(shù)據(jù)包通過(guò)防火墻

iptables -I INPUT -p tcp --dport 22 -j DROP

配置一個(gè)合法的地址能ping

iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s ! 10.0.0.101 -j DROP

禁止一個(gè)網(wǎng)段

iptables -t filter -I INPUT -I eth0 -s ! 10.0.0.0/24 -j DROP 等價(jià)于

iptables -t filter -I INPUT -I eth0 -s 10.0.0.0/24 -j ACCEPT

封掉3306

iptables -A INPUT -p tcp --dport 3306 -j DROP

常用服務(wù)的iptables 規(guī)則實(shí)踐

允許合法的ip通過(guò)iptables

iptables -A INPUT -s 10.0.0.1/24 -p all -j ACCEPT

允許nagios

iptables -A INPUT -s 10.0.0.1/24 -p tcp --dport 5666 -j ACCEPT

允許MySQL和oracle ip訪問(wèn)

iptables -A INPUT -s 10.0.0.1/24 -p tcp --dport 3306 -j ACCEPT

iptables -A INPUT -s 10.0.0.1/24 -p tcp --dport 1521 -j ACCEPT

允許合法的ip連接ssh

iptables -A INPUT -p tcp -s 10.0.0.1/24 --dport 5801 -j ACCEPT

對(duì)http請(qǐng)求的開(kāi)通(一般不做限制)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

對(duì)http服務(wù)企業(yè)，一般的特殊端口，并限制合法ip連接或×××連接

iptables -A INPUT -s 10.0.0.1/24 -p tcp -n unltiport --dport 8080,8888, -j ACCEPT

snmp 的限制

iptables -A INPUT -s 10.0.0.1/24 -p UDP --dport 161 -j ACCEPT

rsync 服務(wù)的限制策

iptables -A INPUT -s 10.0.0.1/24 -p tcp -m tcp --dport 873 -j ACCEPT

nfs 服務(wù)的限制

iptables -A INPUT -s 10.0.0.1/24 -p TCP -n multiport --dport 111,892,2049 -j ACCEPT

ftp服務(wù)限制

#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -n state --state ESTABLSHED,RELATED -j ACCEPT

iptables -A OUTPUT -n state --state ESTABLSHED,RELATED -j ACCEPT

icmp的限制

iptables -A INPUT -p icmp -n icmp --icmp-type any -j ACCEPT

iptables -A INPUT -p icmp -s 10.0.0.1/24 -n icmp --icmp-type any -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

高級(jí)模式

NAT模式的ip一對(duì)一映射（外網(wǎng)對(duì)應(yīng)內(nèi)網(wǎng)）

Iptables –t nat –A PREROUTING –d 201.10.10.11 –p tcp –n tcp –dport 80 –j DNAT –to-destination 10.10.10.12:80

SNAT（源網(wǎng)絡(luò)轉(zhuǎn)換）

Iptables –t nat –A POSTROUTING –s 10.0.0.0/255.255.255.0 –o eth0 –j SANT –to-source 203.21.9.1

映射多個(gè)外網(wǎng)ip上網(wǎng)

Iptables –t nat –A POSTROUTING –s 10.0.0.0/255.255.255.0 –o eth0 –j SANT –to-source 203.21.9.1-203.21.9.20

菜鳥(niǎo)寫(xiě)文檔 ，請(qǐng)多多指教??！