Linux iptables 防火墻常用規(guī)則

米撲博客 總結(jié)了 Linux iptables 防火墻常用規(guī)則,分享出來(lái)。

iptables 安裝

yum install iptables

iptables 規(guī)則清除

iptables -F
iptables -X
iptables -Z

開(kāi)放指定的端口

允許本地回環(huán)接口(即運(yùn)行本機(jī)訪(fǎng)問(wèn)本機(jī))

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允許所有本機(jī)向外的訪(fǎng)問(wèn)

iptables -A OUTPUT -j ACCEPT

允許訪(fǎng)問(wèn)22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允許訪(fǎng)問(wèn)80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

允許指定IP訪(fǎng)問(wèn)22

iptables -I INPUT -s 192.168.0.19 -p tcp --dport 22 -j ACCEPT

禁止其他未允許的規(guī)則訪(fǎng)問(wèn)

iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT

屏蔽IP

屏蔽單個(gè)IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

封整個(gè)段即從123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

封IP段即從123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

封IP段即從123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

查看已添加的iptables規(guī)則

iptables -L -n

刪除已添加的iptables規(guī)則
比如要?jiǎng)h除INPUT里序號(hào)為8的規(guī)則,執(zhí)行:

iptables -D INPUT 8

保存規(guī)則

service iptables save

重啟服務(wù)

service iptables restart

iptables 配置文件

vi /etc/sysconfig/iptables

打開(kāi)主動(dòng)模式21端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

全部開(kāi)放FTP傳輸
加載模塊:

modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

加上一條規(guī)則:

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

iptables只允許指定ip地址訪(fǎng)問(wèn)指定端口

iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --sport 22 -j ACCEPT

上面這兩條,請(qǐng)注意--dport為目標(biāo)端口,當(dāng)數(shù)據(jù)從外部進(jìn)入服務(wù)器為目標(biāo)端口;反之,數(shù)據(jù)從服務(wù)器出去則為數(shù)據(jù)源端口,使用 --sport
同理,-s是指定源地址,-d是指定目標(biāo)地址。

關(guān)閉所有的端口

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

yum允許下載隨機(jī)產(chǎn)生的高端口

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000:65535 -j ACCEPT

允許Ping

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

禁Ping

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

參考推薦

10個(gè)常用iptables配置實(shí)例

CentOS 7 安裝 iptables 防火墻

Linux iptables 規(guī)則的去重方法

iptables日志探秘

iptables 詳細(xì)介紹及配置

騰訊云實(shí)驗(yàn)室:搭建 LNMP 環(huán)境

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀(guān)點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容