Liunx 防火墙 iptables - ●●◐2dot5

Liunx 防火墙 iptables
运维中心 / operations 2dot5 写在2018年07月18日

iptables 的命令参数

-t<表>：指定要操纵的表；

-A：向规则链中添加条目；

-D：从规则链中删除条目；

-i：向规则链中插入条目；

-R：替换规则链中的条目；

-L：显示规则链中已有的条目；

-F：清楚规则链中已有的条目；

-Z：清空规则链中的数据包计算器和字节计数器；

-N：创建新的用户自定义规则链；

-P：定义规则链中的默认目标；

-h：显示帮助信息；

-p：指定要匹配的数据包协议类型；

-s：指定要匹配的数据包源ip地址；

-j<目标>：指定要跳转的目标；

-i<网络接口>：指定数据包进入本机的网络接口；

-o<网络接口>：指定数据包要离开本机所使用的网络接口。

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport 源端口 <-d 目标IP/目标子网> –dport 目标端口 -j 动作

表名包括：

raw：高级功能，如：网址过滤。

mangle：数据包修改（QOS），用于实现服务质量。

net：地址转换，用于网关路由器。

filter：包过滤，用于防火墙规则。

规则链名包括：

INPUT链：处理输入数据包。

OUTPUT链：处理输出数据包。

PORWARD链：处理转发数据包。

PREROUTING链：用于目标地址转换（DNAT）。

POSTOUTING链：用于源地址转换（SNAT）。

动作包括：

ACCEPT：接收数据包。

DROP：丢弃数据包。

REDIRECT：重定向、映射、透明代理。

SNAT：源地址转换。

DNAT：目标地址转换。

MASQUERADE：IP伪装（NAT），用于ADSL。

LOG：日志记录。

实例

清除已有iptables规则

iptables -F

iptables -X

iptables -Z

开放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT    #允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT    #允许已建立的或相关连的通行

iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问

iptables -A INPUT -p tcp –dport 22 -j ACCEPT    #允许访问22端口

iptables -A INPUT -p tcp –dport 3306 -j ACCEPT #mysql

iptables -A INPUT -p tcp –dport 3690 -j ACCEPT #svn

iptables -A INPUT -p tcp –dport 80 -j ACCEPT    #允许访问80端口

iptables -A INPUT -p tcp –dport 21 -j ACCEPT    #允许ftp服务的21端口

iptables -A INPUT -p tcp –dport 20 -j ACCEPT #允许FTP服务的20端口

iptables -A INPUT -j REJECT #禁止其他未允许的规则访问

iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问

iptables -I INPUT -s 127.0.0.1 -p tcp -j ACCEPT

查看已添加的iptables规则

iptables -L -n -v

保存iptables 的规则

service iptables save

重启防火墙

service iptables restart

查看带序号的亏则

iptables -L -n –line-numbers

删除规则 8是序号

iptables -D INPUT 8

上一篇: mysql的编译安装

下一篇: 虚拟服务器安装日志

近期文章

分类目录