【转载】http://www.cnblogs.com/yi-meng/p/3213925.html

iptables规则  即防火墙规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合条件,我们就用相应动作处理。

1.规则语句如下:

iptables [-t table] command  chains [creteria]  -j  action

语法说明:

  1. -t table就是表名,filter/nat/mangle三个表中的一个,默认是filter表;
  2. command告诉程序如何做,比如:插入一个规则,还是删除等;
  3. chains 链,有五个,PREROUTING  POSTROUTING INPUT OUTPUT FORWARD;
  4. action 处理动作,有ACCEPT  DENY DROP REJECT  SNAT  DNAT;

例如 要增加一条规则禁止某个Ip访问:

iptables -I INPUT -s 10.198.18.107 -j DROP

默认filter表,“-I” 表示插入规则的command,INPUT chains链,处理动作:drop

2. 规则语法

2.1 tables

2.2 command

指定iptables对提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西,或其他的动作。以下是iptables可用的command(如不做说明,默认表是filter)

2.3 chains

PREROUTING 是在包进入防火墙之后、路由决策之前做处理

POSTROUTING 是在路由决策之后,做处理

INPUT  在包被路由到本地之后,但在出去用户控件之前做处理

OUTPUT在去包的目的之前做处理

FORWARD 在最初的路由决策之后,做转发处理

2.4 匹配条件

2.4.1 基本匹配

2.4.2 隐含扩展匹配

这种匹配操作是自动的或隐含的装入内核的。例如使用-p tcp时,不需要再装入任何东西就可以匹配只有IP包才有的特点。

隐含匹配针对三种不同的协议,即TCP   UDP ICMP。它们分别有一套适用于相应协议的判断标准

TCP匹配 只能匹配TCP包的细节,必须有-p tcp作为前提

--sport port   基于TCP包的源端口来匹配包

--dport port   基于TCP包的目的端口来匹配包

--tcp-flags tcp标志位    有两个参数列表。第一个是指定要检查的标识位;第二个是指定为1的标识位

UDP匹配

--sprot port

--dport  port

ICMP匹配

--icmp-type

8 request 请求

0 reply  回复 响应

常用命令:

设置特定端口白名单:

iptables -A INPUT -p tcp --dport 9200 -s 10.44.100.141 -j ACCEPT;
iptables -A INPUT -p tcp --dport 9200 -s 10.44.100.114 -j ACCEPT;
iptables -A INPUT -p tcp --dport 9200 -j DROP

Iptables用法规则及防火墙配置的更多相关文章

  1. [转] Linux下防火墙iptables用法规则详及其防火墙配置

    from: http://www.cnblogs.com/yi-meng/p/3213925.html 备注: 排版还不错,建议看以上的链接. iptables规则 规则--顾名思义就是规矩和原则,和 ...

  2. Linux下防火墙iptables用法规则详及其防火墙配置

    转:http://www.linuxidc.com/Linux/2012-08/67952.htm iptables规则 规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规 ...

  3. Ubuntu的防火墙配置-ufw-iptables

    自打2.4版本以后的Linux内核中, 提供了一个非常优秀的防火墙工具.这个工具可以对出入服务的网络数据进行分割.过滤.转发等等细微的控制,进而实现诸如防火墙.NAT等功能.一般来说, 我们会使用名气 ...

  4. Linux防火墙配置(iptables, firewalld)

    netfilter和底层实现 iptables firealld Linux中的防火墙 RHEL中有几种防火墙共存: iptables firewalld ip6tables ebtables 这些软 ...

  5. CentOS7下Firewall防火墙配置用法详解

    官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide ...

  6. Linux学习笔记 --iptables防火墙配置

    iptables防火墙配置 一.防火墙简介 1.功能: 1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙 2)分割内网和外网[附带的路由器的 ...

  7. iptables防火墙配置

    iptables防火墙配置 一.防火墙简介 1.功能: 1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙 2)分割内网和外网[附带的路由器的 ...

  8. iptables、防火墙配置、NAT端口映射

    一,配置一个filter表放火墙 (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) targ ...

  9. CentOS7 Firewall防火墙配置用法详解

    centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法.   FirewallD 提供了支持网络 ...

随机推荐

  1. Elasticsearch 使用集群

    章节 Elasticsearch 基本概念 Elasticsearch 安装 Elasticsearch 使用集群 Elasticsearch 健康检查 Elasticsearch 列出索引 Elas ...

  2. vue学习(九)对象变更检测注意事项

    Vue不能检测对象属性的添加和删除,要是必须这么做的话 需要使用 vue.$set() <body> <div id="app"> <h3> { ...

  3. MacOS通过ssh连接基于Virtualbox的Ubuntu虚拟机

    以前总是用Windows软件putty进行ssh连接,今天尝试使用macos. 实验环境:主机:macos 10.15.3 客户机:Ubuntu 18.04 默认情况下,Ubuntu没有安装SSH,需 ...

  4. mybaits入门学习

    学习了简单的mybatis的配置 Bean层: 这个都会很简单 一个完整的Bean 需要getter和setter方法还需要一个空的构造方法和一个满的构造方法. Dao层: 创建一个接口就ok了 pa ...

  5. UVA - 11400 Lighting System Design(照明系统设计)(dp)

    题意:共有n种(n<=1000)种灯泡,每种灯泡用4个数值表示.电压V(V<=132000),电源费用K(K<=1000),每个灯泡的费用C(C<=10)和所需灯泡的数量L(1 ...

  6. MFC 选择文件夹

    WCHAR szPath[_MAX_PATH] = {}; BROWSEINFO bi; //指定父窗口,在对话框显示期间,父窗口将被禁用 bi.hwndOwner = this->GetSaf ...

  7. 【pwnable.kr】coin1

    pwnable从入门到放弃又一发 说是一道pwnable,其实是一道coding... nc pwnable.kr 9007 连接上看看,玩硬币? 老子是来拿flag的,谁来哄孩子来了!!! 算了,f ...

  8. java课程之团队开发冲刺阶段2.4

    总结昨天进度: 1.照例学习了课前提醒的功能,不可否认的是,在这个功能上,需要的技术和之前的上课静音有点相似,都是通过广播然后开启service服务,然后进行每分钟的监听,查看时间是否一致,在一致的情 ...

  9. 文献阅读报告 - Move, Attend and Predict

    Citation Al-Molegi A , Martínez-Ballesté, Antoni, Jabreel M . Move, Attend and Predict: An Attention ...

  10. 解决TeamViewer提示商业用途

    安装此插件 提取码:i8o3