防火墙规则之iptables

一 如何禁止外面应用对某个端口访问

    iptables -I INPUT -p TCP ! --source 127.0.0.1 --dport 8080 -j DROP
    iptables -I INPUT -p TCP ! --source 127.0.0.1 --dport 9200 -j DROP

这条命令的意思是拒绝外面的所有的IP对本机的8080和9200端口的访问,但是允许本地的127.0.0.1以及localhost能够访问本地的9200以及8080端口

二 iptables的INPUT链的一些拓展

  iptables -t filter -A INPUT -s 10.88.32.20 -d 10.88.32.19 -p tcp -m multiport --dport 80,22 -m state --state NEW -j DROP

  解释:该条命令使用的是filter表,INPUT链,拒绝10.88.32.20网段的IP访问主机80,22端口

    -t 使用的是filter表也可以省略

    -A 插入的形式

-s 源端的ip地址

    -p tcp协议

    -m 制定mac地址,多端口或者对tcp各种状态的限制等

    -j 动作   丢弃或者接受

  注意:这个生效的前提是iptables里面的规则不能与其有冲突

三 还可以针对某个网段的IP进行限制访问

  例如: iptables -t filter -A INPUT -p tcp -s 10.88.0.0/16 -d 10.88.32.19 -m multiport --dport 80,22 -m state --state NEW -j DROP

  用法解释:10.88.32.19这个IP对于源IP是10.88.0.0/16网段的

四  针对服务的某个端口仅仅只对指定的IP开放

  例如: iptables -t filter -A INPUT -p tcp ! -s 10.88.32.20 -d 10.88.32.19 -m multiport --dport 80,22 -m state --state NEW -j DROP

  用法解释:10.88.32.19这个地址的80以及22的端口只能允许10.88.32.19这个ip访问

五 针对某个机器的某些端口只对某个网段访问支持

  例如:iptables -t filter -A INPUT -p tcp ! -s 10.88.0.0/16 -d 10.88.3.20 -m multiport --dport 80,22 state --state NEW -j DROP

六  如何删除一条iptables规则

  iptables -D chainname[INPUT/OUPPUT/FORWARD]

  例如: iptables -D INPUT 5

  意思是删除本机的INPUT表的第五条规则

七 使用iptables对服务器禁止ping命令

  iptables -t filter -A INPUT -p icmp ! -s 10.88.0.0/16 -d 10.88.32.19 -m state --state NEW -j DROP

  用法解释:这条命令是可以让目的IP为10.88.32.19的服务器仅仅接受来自10.88.0.0/16网段的ip的ping测试

八 iptables的OUTPUT链的拓展

  8.1  不允许本机服务器对外面所有的机器进行ping命令

    iptables -t filter -A OUTPUT -p icmp -j DROP

  8.2 仅仅允许对指定的10.88.0.0/16网段进行ping命令访问

    iptables -t filter -A OUTPUT ! -d 10.88.0.0/16 -m state --state NEW -j DROP

  8.3 本机仅仅只能对10.88.0.0/16网段的指定22,8888端口访问

    iptables -t filter -A OUTPUT -p tcp ! -d 10.88.0.0/16 -m multiport --dport 22,8888 -m state --state NEW -j DROP

  8.4 禁止mac为00:0c:29:27:55:3F的访问本机的22端口

    iptables - t filter -A INPUT -p tcp -m tcp -s 10.88.0.0/16 --dport 22 -m mac --mac-source 00:0c:29:27:55:3F -j DROP

  8.5 防止DDOS攻击

    iptables -t filter -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-brust 100 -j ACCEPT

    当链接数超过100的时候允许最多每分钟25个进行链接

九 iptables的NAT链的拓展

  9.1  在同一个网段的地址转换,我希望的是将来自10.88.32.20的8888端口转发到10.88.32.19的80端口上面

    iptables -t nat -A PREROUTING -p tcp -d 10.88.32.20 --dport 8888 -j DNAT --to-destination 10.88.32.19:80

    iptables -t filter -A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT

注意: 更详细的规则描述可以参考

  https://www.cnblogs.com/kevingrace/p/6265113.html

防火墙规则之iptables的更多相关文章

  1. CentOS6.7 防火墙规则(Iptables)

    查看防火墙的状态 /etc/init.d/iptables status 开启防火墙 /etc/init.d/iptables start 关闭防火墙 /etc/init.d/iptables sto ...

  2. 设置主机防火墙规则(iptables规则设置及其与firewalld的生死纠葛)

    一.什么是firewalld防火墙? firewalld防火墙在Linux主机里其实就是一道隔离工具,它只对进出主机的请求做判断处理.也就是说它只管进出,至于你进来后做了什么,就不在firewalld ...

  3. Linux防火墙基础与编写防火墙规则

    Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根 ...

  4. [moka同学摘录]iptables防火墙规则的添加、删除、修改、保存

    文章来源:http://www.splaybow.com/post/iptables-rule-add-delete-modify-save.html 本文介绍iptables这个Linux下最强大的 ...

  5. 20条IPTables防火墙规则用法!

    导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击.很多用户把 Linux 中的 IPTables 当成一个防火墙 ...

  6. 保存iptables的防火墙规则的方法【转载】

    转自: 保存iptables的防火墙规则的方法 - 51CTO.COMhttp://os.51cto.com/art/201103/249504.htm 保存iptables的防火墙规则的方法如下: ...

  7. Iptables防火墙规则使用梳理

    iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能 ...

  8. Iptables防火墙规则使用

    iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能 ...

  9. Ubuntu中保存iptables防火墙规则

    Ubuntu中保存iptables防火墙规则的例子 打开防火墙 ufw disableufw statusufw enable ufw allow 22/tcp ufw reload iptables ...

  10. 20条IPTables防火墙规则用法! [转]

    20条IPTables防火墙规则用法! 导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击.很多用户把 Linux ...

随机推荐

  1. openstack-train-ovs-ceph 部署

    第一章 Openstack简介 https://baike.baidu.com/item/OpenStack/342467?fr=aladdin Openstack框架图![img](file:/// ...

  2. Qt数据结构-QString一:常用方法

    一.拼接字符串 拼接字符串有两种方法: +=  .  append QString s; s = "hello"; s = s + " "; s += &quo ...

  3. 高可用之战:Redis Sentinal(哨兵模式)

    ★ Redis24篇集合 1 背景 在我们的<Redis高可用之战:主从架构>篇章中,介绍了Redis的主从架构模式,可以有效的提升Redis服务的可用性,减少甚至避免Redis服务发生完 ...

  4. sql 语句系列(月份的第一个星期的星期一和最后一个星期的星期一)[八百章之第二十一章]

    mysql select y.first_monday,CASE MONTH(ADDDATE(y.first_monday,28)) when mth then ADDDATE(y.first_mon ...

  5. 高云1N1开发板高云gowin软件使用教程

    国产FPGA是最近几年起来的产品,具有性价比高特点.高云FPGA,很多用户都用在LED,电机控制,PLC设备上. 开发板子采用GW1N-LV1QN48C6/I5 FPGA器件.具有低功耗,瞬时启动,高 ...

  6. 力扣59(java)-螺旋矩阵Ⅱ(中等)

    题目: 给你一个正整数 n ,生成一个包含 1 到 n2 所有元素,且元素按顺时针顺序螺旋排列的 n x n 正方形矩阵 matrix . 输入:n = 3 输出:[[1,2,3],[8,9,4],[ ...

  7. EasyNLP集成K-BERT算法,借助知识图谱实现更优Finetune

    导读 知识图谱(Knowledge Graph)的概念⾸次出现2012年,由Google提出,它作为⼀种⼤规模语义⽹络, 准确地描述了实体以及实体之间的关系.知识图谱最早应⽤于搜索引擎,⽤于准备返回⽤ ...

  8. 在kubernetes集群中使用虚拟节点创建1万Pod-支持在线教育业务

    使用虚拟节点提升k8s集群容量和弹性 在kubernetes集群中添加虚拟节点的方式已被非常多的客户普遍使用,基于虚拟节点可以极大提升集群的Pod容量和弹性,灵活动态的按需创建ECI Pod,免去集群 ...

  9. EMR StarRocks 极速数据湖分析原理解析

    简介:数据湖概念日益火热,本文由阿里云开源大数据 OLAP 团队和 StarRocks 数据湖分析团队共同为大家介绍" StarRocks 极速数据湖分析 "背后的原理. [首月9 ...

  10. 饿了么EMonitor演进史

    简介: 可观测性作为技术体系的核心环节之一,跟随饿了么技术的飞速发展,不断自我革新. 序言 时间回到2008年,还在上海交通大学上学的张旭豪.康嘉等人在上海创办了饿了么,从校园外卖场景出发,饿了么一步 ...