【linux】Iptables防火墙策略及配置文件

一、查看iptables里的规则:

iptables   -L   INPUT / FORWARD / OUTPUT

修改默认iptables里的规则:iptables -P
追加iptables里的规则:iptables -A
修改规则:iptables -R
删除规则:iptables -D
清空规则:iptables -F

二、处理方式两种:ACCEPT / DROP

三、匹配条件:
出入接口(-o、-i) 网卡
源、目的地址(-s、-d) IP或者IP段
协议类型(-p) TCP ,UDP
源、目的端口(-sport、-dport)

示例:

# 将接口eth0流出的数据DROP掉
iptables -A OUTPUT -o eth0 -j DROP

# 将流入到接口eth0的数据DROP掉
iptables -A INPUT -i eth0 -j DROP

# 将来自192.168.0.1的任何请求DROP掉
iptables -A INPUT -s 192.168.0.1 -j DROP

# 将本机发往192.168.0.1的任何请求DROP掉
iptables -A OUTPUT -d 192.168.0.1 -j DROP

【注:可以是单个IP(192.168.0.1)、网段(192.168.0.1/24)、域名;不设置则表示任何地址】

----------------------------------------------
# 禁止192.168.0.1/24的客户机连接本机22端口
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 22 -j DROP

# 禁ping
iptables -A INPUT -p icmp -j DROP

# 可以ping通其他客户机,但是其他客户机ping 不通该机
iptables -A INPUT -p 1 --icmp -type 8 -j DTOP

----------------------------------------------

【按照端口匹配】

# 将来自80端口的请求DROP掉
iptables -A INPUT -p tcp --sport 80 -j DROP

# 将来自192.168.0.1/24的针对本机80端口的请求DROP掉
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 80 -j DROP

注意:
1、–sport、–dport必须配合参数-p使用;
2、可以指定某个端口,也可是端口范围,
比如 :2000(2000一下端口)、2000:3000(2000-3000端口)、3000: (3000以上端口)


规则配置文件目录:/etc/sysconfig/iptables

# 保存到文件中的命令:
service iptables save

# 临时保存,重启无效
iptables - save 

# 放弃保存
iptables -restore 

你可能感兴趣的:(linux,运维,服务器)