Linux——iptables使用(二)
【摘要】 常用操作:允许80端口和指定源地址访问(-m如与-p协议相同则可以省略)iptables -l INPUT -s 192.168.100.254/24 -p tcp -m tcp --dport 80 -j ACCEPT禁止目标地址多个离散目标端口访问iptables -I INPUT -d 192.168.100.128 -p tcp -m multiport --sport 23,25,...
常用操作:
允许80端口和指定源地址访问(-m如与-p协议相同则可以省略)
iptables -l INPUT -s 192.168.100.254/24 -p tcp -m tcp --dport 80 -j ACCEPT
禁止目标地址多个离散目标端口访问
iptables -I INPUT -d 192.168.100.128 -p tcp -m multiport --sport 23,25,3306 -j REJECT
禁止指定网段tcp通信
iptables -I INPUT -p tcp -m iprange --src-range 192.168.100.21-192.168.100.28 -j REJECT
放行MAC地址
iptables -I INPUT -m mac --mac-source 00::0C:29:64:E3:8D -j ACCEPT
放行FTP
iptables -l INPUT -p tcp -dport 20:21 -j ACCEPT
自己ping别人可以,别人不可以ping自己
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
自己不能ping别人,别人可以ping自己
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
拒绝任何ping协议
iptables -A INPUT -p icmp -j DROP
允许icmp协议type=11的包进入(接受超时请求包)
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
禁止源地址192.168.22.128的主机访问(直接返回拒绝链接)
iptables -I INPUT -s 192.168.22.128 -j REJECT
丢弃源网段192.168.22.0网段的数据包(丢弃数据包不作任何反应)
iptables -I INPUT -s 192.168.22.0/24 -j DROP
禁止通过eth0网卡进行通信
iptables -I INPUT -i eth0 -j DROP
禁止tcp第一次握手包
iptables -I INPUT -i ens33 -p tcp --tcp--flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
&&
iptables -I INPUT -p tcp --syn -j REJECT
禁止tcp第二次握手包
iptables -I INPUT -i ens33 -p tcp --tcp--flags ALL SYN,ACK -j REJECT
禁止state状态为NEW的链接进行通信(不仅限于TCP连接)
iptabls -I INPUT -p tcp -m state --state NEW -j REJECT
允许state状态为ESTABLISHED和RELATED的链接进行通信
iptabls -I INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
清空链(-X要放在-F的后面)
iptables -F iptables -X iptables -Z
保存iptables规则
service iptables save
重启iptables服务
serviceiptables restart
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)