防火墙规则之iptables

一 如何禁止外面应用对某个端口访问

    iptables -I INPUT -p TCP ! --source 127.0.0.1 --dport 8080 -j DROP
    iptables -I INPUT -p TCP ! --source 127.0.0.1 --dport 9200 -j DROP

这条命令的意思是拒绝外面的所有的IP对本机的8080和9200端口的访问,但是允许本地的127.0.0.1以及localhost能够访问本地的9200以及8080端口

二 iptables的INPUT链的一些拓展

  iptables -t filter -A INPUT -s 10.88.32.20 -d 10.88.32.19 -p tcp -m multiport --dport 80,22 -m state --state NEW -j DROP

  解释:该条命令使用的是filter表,INPUT链,拒绝10.88.32.20网段的IP访问主机80,22端口

    -t 使用的是filter表也可以省略

    -A 插入的形式

-s 源端的ip地址

    -p tcp协议

    -m 制定mac地址,多端口或者对tcp各种状态的限制等

    -j 动作   丢弃或者接受

  注意:这个生效的前提是iptables里面的规则不能与其有冲突

三 还可以针对某个网段的IP进行限制访问

  例如: iptables -t filter -A INPUT -p tcp -s 10.88.0.0/16 -d 10.88.32.19 -m multiport --dport 80,22 -m state --state NEW -j DROP

  用法解释:10.88.32.19这个IP对于源IP是10.88.0.0/16网段的

四  针对服务的某个端口仅仅只对指定的IP开放

  例如: iptables -t filter -A INPUT -p tcp ! -s 10.88.32.20 -d 10.88.32.19 -m multiport --dport 80,22 -m state --state NEW -j DROP

  用法解释:10.88.32.19这个地址的80以及22的端口只能允许10.88.32.19这个ip访问

五 针对某个机器的某些端口只对某个网段访问支持

  例如:iptables -t filter -A INPUT -p tcp ! -s 10.88.0.0/16 -d 10.88.3.20 -m multiport --dport 80,22 state --state NEW -j DROP

六  如何删除一条iptables规则

  iptables -D chainname[INPUT/OUPPUT/FORWARD]

  例如: iptables -D INPUT 5

  意思是删除本机的INPUT表的第五条规则

七 使用iptables对服务器禁止ping命令

  iptables -t filter -A INPUT -p icmp ! -s 10.88.0.0/16 -d 10.88.32.19 -m state --state NEW -j DROP

  用法解释:这条命令是可以让目的IP为10.88.32.19的服务器仅仅接受来自10.88.0.0/16网段的ip的ping测试

八 iptables的OUTPUT链的拓展

  8.1  不允许本机服务器对外面所有的机器进行ping命令

    iptables -t filter -A OUTPUT -p icmp -j DROP

  8.2 仅仅允许对指定的10.88.0.0/16网段进行ping命令访问

    iptables -t filter -A OUTPUT ! -d 10.88.0.0/16 -m state --state NEW -j DROP

  8.3 本机仅仅只能对10.88.0.0/16网段的指定22,8888端口访问

    iptables -t filter -A OUTPUT -p tcp ! -d 10.88.0.0/16 -m multiport --dport 22,8888 -m state --state NEW -j DROP

  8.4 禁止mac为00:0c:29:27:55:3F的访问本机的22端口

    iptables - t filter -A INPUT -p tcp -m tcp -s 10.88.0.0/16 --dport 22 -m mac --mac-source 00:0c:29:27:55:3F -j DROP

  8.5 防止DDOS攻击

    iptables -t filter -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-brust 100 -j ACCEPT

    当链接数超过100的时候允许最多每分钟25个进行链接

九 iptables的NAT链的拓展

  9.1  在同一个网段的地址转换,我希望的是将来自10.88.32.20的8888端口转发到10.88.32.19的80端口上面

    iptables -t nat -A PREROUTING -p tcp -d 10.88.32.20 --dport 8888 -j DNAT --to-destination 10.88.32.19:80

    iptables -t filter -A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT

注意: 更详细的规则描述可以参考

  https://www.cnblogs.com/kevingrace/p/6265113.html

防火墙规则之iptables的更多相关文章

  1. CentOS6.7 防火墙规则(Iptables)

    查看防火墙的状态 /etc/init.d/iptables status 开启防火墙 /etc/init.d/iptables start 关闭防火墙 /etc/init.d/iptables sto ...

  2. 设置主机防火墙规则(iptables规则设置及其与firewalld的生死纠葛)

    一.什么是firewalld防火墙? firewalld防火墙在Linux主机里其实就是一道隔离工具,它只对进出主机的请求做判断处理.也就是说它只管进出,至于你进来后做了什么,就不在firewalld ...

  3. Linux防火墙基础与编写防火墙规则

    Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根 ...

  4. [moka同学摘录]iptables防火墙规则的添加、删除、修改、保存

    文章来源:http://www.splaybow.com/post/iptables-rule-add-delete-modify-save.html 本文介绍iptables这个Linux下最强大的 ...

  5. 20条IPTables防火墙规则用法!

    导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击.很多用户把 Linux 中的 IPTables 当成一个防火墙 ...

  6. 保存iptables的防火墙规则的方法【转载】

    转自: 保存iptables的防火墙规则的方法 - 51CTO.COMhttp://os.51cto.com/art/201103/249504.htm 保存iptables的防火墙规则的方法如下: ...

  7. Iptables防火墙规则使用梳理

    iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能 ...

  8. Iptables防火墙规则使用

    iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能 ...

  9. Ubuntu中保存iptables防火墙规则

    Ubuntu中保存iptables防火墙规则的例子 打开防火墙 ufw disableufw statusufw enable ufw allow 22/tcp ufw reload iptables ...

  10. 20条IPTables防火墙规则用法! [转]

    20条IPTables防火墙规则用法! 导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击.很多用户把 Linux ...

随机推荐

  1. cv.calibrateCamera

    相机造成的失真类型 如何找到相机的内在和外在特性 如何基于这些特性来消除图像失真 基础 一些针孔相机会对图像造成严重失真.两种主要的畸变是径向畸变和切向畸变. 径向变形会使直线看起来是弯曲的.点离图像 ...

  2. easyexcel实现导出添加文字水印

    引入jar包 由于easyexcel没有引入ooxml-schemas包,所以需要额外添加. <!-- easyexcel依赖 --> <dependency> <gro ...

  3. linux 忘记密码怎么破?

    前言 适合硬件在自己旁边的,不适合云服务器,云服务器很方便的,可以直接重置密码,因为云服务器都是虚拟机. 正文 1.步骤 进入到可以看到节目的视图,按下esc键进入下面的视图! 2.接着进入下面的界面 ...

  4. 【hibernate】使用HQL对页面进行时间校验操作(预约)

    [hibernate]使用HQL对页面进行时间校验操作(预约) 预约系统中的时间校验 正好接了一个预约的需求,还需要用java 7和hibernate 1.时间冲突,时间段不能重复,在保存前对数据库进 ...

  5. HL7标准的版本

    HL7V2 HL7v2是用于在系统之间交换临床和患者信息的最广泛使用的医疗保健消息传递标准.HL7v2的目标是使用代表临床事件信息的标准化消息(例如患者管理活动.人口统计.医疗订单.结果和财务信息)在 ...

  6. 安装以及破解Navicat

    1.下载Navicat软件安装包 链接:https://pan.baidu.com/s/1RltCPjg1mmpOjC7vxAjQ4g 提取码:v4k8 2.下载好文件打开是这样的,先运行 " ...

  7. 力扣73(java)-矩阵置零(中等)

    题目: 给定一个 m x n 的矩阵,如果一个元素为 0 ,则将其所在行和列的所有元素都设为 0 .请使用 原地 算法. 提示: m == matrix.length n == matrix[0].l ...

  8. 国庆集训 Day1 复盘笔记

    9.25 \({\color{Green} \mathrm{A\ -\ Powered\ Addition}}\) 只要把序列扫一遍,然后求出目前最大值与当前值的差的最大值 \(x\),再 \(log ...

  9. 压测场景下的 TIME_WAIT 处理

    简介: 压测场景下的 TIME_WAIT 处理 1. 序 某专有云项目具备压测场景,在Windows的压测机上用 LoadRunner 进行业务的压力测试,压测运行一段时间后出现大量端口无法分配的报错 ...

  10. 前沿分享|阿里云资深技术专家 魏闯先:AnalyticDB PostgreSQL年度新版本发布

    ​简介: 本篇内容为2021云栖大会-云原生数据仓库AnalyticDB技术与实践峰会分论坛中,阿里云资深技术专家 魏闯先关于"AnalyticDB PostgreSQL年度新版本发布&qu ...