iptables笔记

建立一個新鏈 (-N)。
刪除一個空鏈 (-X)。
改變一個內建鏈的原則 (-P)。
列出一個鏈中的規則 (-L)。
清除一個鏈中的所有規則 (-F)。
歸零(zero) 一個鏈中所有規則的封包字節(byte) 記數器 (-Z)。

iptables -L -n --line-number 查看每条规则，并列出，列号。

有好些方法可以統籌一個鏈中的規則﹕

延增(append) 一個新規則到一個鏈 (-A)。
在鏈內某個位置插入(insert) 一個新規則(-I)。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。

service iptables save 或iptables-save > /etc/sysconfig/iptables

在创建 IPTables 规则集合时，记住规则的顺序是至关重要的。
例如：如果某个链指定了来自本地子网 192.168.100.0/24 的任何分组都应放弃，然后一个允许来自 192.168.100.13（在前面要放弃分组的子网范围内）的分组的链被补在这个规则后面（-A），那么这个后补的规则就会被忽略。你必须首先设置允许 192.168.100.13 的规则，然后再设置放弃规则。

要在现存规则链的任意处插入一条规则，使用 -I，随后是你想插入规则的链的名称，然后是你想放置规则的位置号码（1,2,3,...,n）。
例如：iptables -I INPUT 1 -i lo -p all -j ACCEPT这条规则被插入为 INPUT 链的第一条规则，它允许本地环回设备上的交通。

 

iptables -A {RH-Firewall-1-}INPUT -p icmp -m icmp (--icmp-type any) -j DROP (ACCEPT允许ping)   /禁ping的命令(双禁)

#设置某个ip访问服务器。
#!/bin/sh
#init

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
##(iptables -D INPUT -p tcp --dport 22 -j ACCEPT 删除此条规则。假如这条规刚在第2行，可用iptables -D INPUT 2)
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
 
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 443 -j ACCEPT (https安全网站需要的端口)

iptables -P INPUT DROP
iptables -P OUPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -s 192.168.1.51 -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.1.51 -j ACCETP (只设置 INPUT 通过 如果还是不行。还要设置 OUTPUT 才行)

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT (要允许整个 LAN 的转发（假定防火墙/网关在 eth0 上有一个内部 IP 地址）你可以设置以下规则
)

#只充许某个ip能通使用某个端口。如22端口
iptables -A INPUT -p tcp --drop 22 -s 192.168.1.51 -j ACCEPT
iptables -A OUTPUT -p tcp --srop 22 -d 192.168.1.51 -j ACCEPT

#只充许某个ip能ping服务器。
iptables -A INPUT -s 192.168.1.51 -p icmp -m icmp -j ACCEPT
iptables -A output -d 192.168.1.51 -p icmp -m icmp -j ACCEPT
iptables -A INPUT -p icmp -m icmp -j DROP(ACCEPT)

您也可以用這模組去避免以快速比率提昇服務回應的阻斷服務攻擊(DoS)。

Syn-flood protection﹕
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Furtive port scanner﹕
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping of death﹕
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables –A INPUT –p tcp --dport 80 –m limit --limit 10/second --limit-burst 200 –j ACCEPT

有关mac地址和端口 ip绑定限制的情况：
iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.1.200 -m mac --mac-source 00:0F:EA:91:04:08 -j DROP