阅读更多
iptables命令格式
iptables [-t table] command [match] [target/jump]
选项-t用来指定使用哪个表,默认的是 filter表
常用参数
command
-A, --append添加
-D, --delete删除
-R, --replace替换
-F, --flush清除
-X, --delete-chain清除
-P, --policy默认规则
match
-p, --protocol协议
-s, --src, --source源
-d, --dst, --destination目标
-i, --in-interface网络接口,如网卡
--sport, --source-port源端口
--dport, --destination-port目标端口
--mac-source基于包的MAC源地址匹配包
--source-port
--destination-port
target
ACCEPT通过
DROP丢弃,无返回
REJECT拒绝,会返回错误信息
1,查看iptables服务启动状态
service iptables status
2,启动iptables服务,
service iptables start
3,停止iptables服务,
service iptables stop
4,重启iptables服务
service iptables restart
5,查看iptables当前设置
iptables -L -n
# iptables -L -n
Chain INPUT (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:10020:10029//连续的端口10020到10029
Chain FORWARD (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
Chain OUTPUT (policy DROP)//默认规则DROP,不在明细中的都按默认处理
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:10020:10029
6,删除iptables的某项设置
iptables -D INPUT 1 删除INPUT第一条,OUTPUT、FORWARD同样,
7,清除iptables自定义链设置,
iptables -F 清除预设表filter中的所有规则链的规则,可以用iptables -F INPUT 清除INPUT设置,OUTPUT、FORWARD同样,
8,清除iptables预设规则设置,
iptables -X 清除预设表filter中的所有规则链的规则,
9,设置ipiptables默认规则,
iptables -P INPUT ACCEPT,OUTPUT、FORWARD同样,
10,添加自定义规则,
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
11,配置iptables允许vsftpd访问
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10020:10029 -j ACCEPT//vsftpd的临时端口,
//如果OUTPUT默认规则是ACCEPT时不用设置下面内容。
iptables -A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 10020:10029 -j ACCEPT//vsftpd的临时端口,
12,配置iptables允许SSH访问
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
//如果OUTPUT默认规则是ACCEPT时不用设置下面内容。
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
13,保存iptables配置
规则保存在,/etc/rc.d/init.d/iptables,iptables自动装载。
iptables-save把规则保存到文件中,自己指定位置名称,iptables-save > /etc/sysconfig/iptables
service iptables save,它能把规则自动保存在/etc/sysconfig/iptables中,同调用/etc/rc.d/init.d/iptables save
14,恢复iptables配置
iptables-restore
补充
允许已经建立连接的数据进来
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立连接的数据出去
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许icmp包进入
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包出去
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许dns中的tcp数据包进入
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
允许dns中的tcp数据包进入
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
允许dns中的udp数据包出去
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
- Iptables_指南_1.1.19.rar (324.1 KB)
- 下载次数: 0