linux：iptables (4) 命令行操练（二）

目录

1.允许指定的tcp端口连接

2.对IP地址相同流量分组，不同端口进行控制

3.禁止或启用本地回环地址

 4.设置黑白名单，阻断全部端口并放开icmp的请求和回应

 5.匹配字符串阻断

---

 

1.允许指定的tcp端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 2345 -j ACCEPT

2.对IP地址相同流量分组，不同端口进行控制

创建子链，进行更精细化的端口管理

iptables -N TCP_ACL_1
iptables -A INPUT -d 192.168.7.100 -j TCP_ACL_1
iptables -A TCP_ACL_1 -p tcp -m multiport --dport 80,8080,8000 -j DROP

[root@ovn-center ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.1.0/24       0.0.0.0/0            tcp dpt:2345
DROP       all  --  0.0.0.0/0            0.0.0.0/0
TCP_ACL    all  --  0.0.0.0/0            192.168.3.10
TCP_ACL_1  all  --  0.0.0.0/0            192.168.7.100

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain TCP_ACL (1 references)
target     prot opt source               destination

Chain TCP_ACL_1 (1 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,8080,8000

3.禁止或启用本地回环地址

iptables -A INPUT -i lo  -d 0.0.0.0/0 -j DROP

iptables -A OUTPUT -o lo -d 0.0.0.0/0 -j DROP

[root@ovn-center ~]# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1041ms

iptables -D INPUT -i lo -d 0.0.0.0/0 -j DROP
iptables -D OUTPUT 1

当清理掉关于lo的阻断之后，仍然不通，继续看一下策略，发现仍然存在一个针对lo为入口的阻断策略，继续删除或者添加更前排的通过策略

 4.设置黑白名单，阻断全部端口并放开icmp的请求和回应

        A --> B 全不通,icmp 弄no ok，B-->A icmp访问ok,   A --> B icmp 访问ok 

iptables -A INPUT -p all -s 192.168.0.0/24 -j DROP
iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT

iptables -I INPUT -s 192.168.0.0/24 -p icmp --icmp-type 0 -j ACCEPT

 

 

 5.匹配字符串阻断

在未作字符匹配阻断之前

 进行iptables 字符串阻断

iptables -A INPUT -p tcp -m string --string "test" --algo kmp -j REJECT --reject-with tcp-reset

 再次尝试tcp发送字符，当发送指定字符时，服务端直接断掉连接，要求客户端重新建立链接