溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
IPTABLES規則,先拒絕所有鏈接,在注意開放對外服務
IPTABLES可用操作
(1)-L:先是所選鏈中所有策略 IPTABLES -t filter -L
(2)-A:(鏈名稱):在所選鏈尾部加上一條新的策略
例:IPTABLES -t filter -A INPUT -S 192.168.3.1 -j DROP
(3) -D:(鏈名稱) (策略內容或序號)從所選鏈中刪除策略
例:iptables -t filter -D INPUT 3
(4) -F(鏈名稱)清空所選鏈策略,
iptables -F INPUT
IPTABLES可用數據描述
(1)-p(tcp/udp/icmp)匹配指定的協議 例:
阻止源地址為192.168.3.1到本機的所有UDP通信
iptables -t filter -A INPUT -P udp -S 192.168.3.1 -j DROP
(2) -d (ip地址) 阻止這個地址的通信
阻止ip地址為192.168.3.1/192.168.3.0這個網段的通信
iptables -t filter -A OUTPUT -d 192.168.3.1/ 192.168.3.0/24 -j DROP
(3) -i(網絡接口) 以數據包進入本機接口來匹配數據包 (進入本地接口 -i)
例:阻止從eth0進入的源地址為192.168.3.1的所有通信
iptables -t filter -A INPUT -i eth0 -s 192.168.3.1 -j DROP
(4)-o (網絡接口) 以數據包離開本地所使用的網絡接口來匹配數據包,同 -i(離開本地接口 -o)
例:阻止目標IP地址為192.168.3.0從eth0發出的所用通信
iptables -t filter -A OUTPUT -o eth0 -S 192.168.3.0/24 -j DROP
(5) --sport (端口) 使用數據包源端口匹配數據包,該參數必須同 -p配合使用
例:阻源端口為1000的所有tcp通信
iptables -t filter -A INPUT -p tcp --sport 1000 -j DROP
(6) --dport(端口) 基于數據包目的端口匹配
例:阻止目標端口為1000的所tcp通信
iptables -t filter -A OUTPUT -p tcp --dport 1000 -j DROP
常見服務策略配置
例:DNS:
iptables -A INPUT -p udp -s 192.168.3.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -D 192.168.3.0/24 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -D 192.168.3.0/24 --sport 53 -j ACCEPT
IPTABLES規則保存在配置文件 /etc/sysconfig/iptables
以下命令可以將當前IPTABLES配置保存到配置文件中
service iptables save
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
