iptables的构成(四表五链)
    表
        filter:过滤数据包
        nat :转换数据包的源或目标地址
        mangle:用来mangle包,改变包的属性
        raw:用来不让iptables做数据包的链接跟踪处理,主要是提高性能

*优先级:raw>mangle>nat>filter(请注意优先级)


        INPUT:对进入主机的数据包进行修改
        OUPTUT:从主机向外发送的数据包进行修改
        FORWARD:转发的数据包,路由判断后最后一次更改包的源地址前对数据包进行修改
        PREROUTING:数据包进入防火墙后,路由判断之前对数据包进行修改
        POSTROUTING:路由判断后对数据包进行修改
iptables的基本操作       
一、管理防火墙
        启动
            # service iptables start
            # chkconfig --level 2345 iptables on
            管理程序:/etc/init.d/iptables
        关闭
            # service iptables stop
            # chkconfig iptables off
        保存防火墙规则
            # service iptables save
            规则保存位置:/etc/sysconfig/iptables

iptables 命令格式: iptables [-t 表名] 选项 规则

二、防火墙规则管理
        1)显示防火墙中的规则
            -L:显示防火墙中的规则列表
            -n:不将规则反解成服务名称(以数字)
            --line:显示规则编号
            -v:显示规则详细信息
            【在关闭的情况下,是看不到防火中的规则的】
        2)删除规则
            -D #:删除指定编号的规则
            -F:清空规则
           
                例子:删除filter表的INPUT链的第三个规则
                    # iptables -t filter -D INPUT 3
                例子:删除filter表的INPUT链的全部规则
                    # iptables -t filter -F INPUT
                例子:删除filter表的全部规则   
                    # iptables -t filter -F
        3)保存规则
            # service iptables save
            【执行保存规则操作的时候,会将内存中的规则刷新磁盘上/etc/sysconfig/iptables】 
        4)清空防火墙的计时器
            -Z: 清空规则计时器
            例子:清空filter的全部计数器
                    # iptables -t filter -Z
        5)添加
            -A: 在最后一条规则后,添加新规则
            -I:在指定的位置前插入规则。如果不指定位置,是插入在第一条
            -R:替换指定编号的规则
           
            -j 动作:指定一个数据包匹配到这个规则后所执行的操作
                动作:
                    ACCEPT:放行
                    DROP:丢弃
                   
            匹配条件:
                -d xxx:指定数据包中的目的IP
                -s xxx:指定数据包中的源的IP
                --sport xx:指定指定数据包中的源端口
                --dport xx:指定数据包中的目的端口
                -p xx:指定协议类型
           
            例子:禁止192.168.6.222链接当前主机的tcp 22端口
                # iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
           
        6)修改默认规则
            -P: 修改链的默认规则
            修改默认规则为DROP前,必须首先放行22端口
             
练习:
            1、清空防火墙的规则
                # iptables -t filtler -F
                # iptables -t nat -F
                # iptalbes -t mangle -F
                # iptables -t raw -F
            2、清空计数器
                # iptables -t filtler -Z
                # iptables -t nat -Z
                # iptalbes -t mangle -Z
                # iptables -t raw -Z       
            3、保存规则
                # service iptables save
       
            4、配置规则实现只允许自己的window链接linux主机
                # iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j ACCEPT
                # iptables -A OUTPUT -d x.x.x.x -p tcp --sport 22 -j ACCEPT
            5、修改默认规则为DROP
                # iptables -P INPUT DROP
                # iptables -P OUTPUT DROP
                # service iptables save
            6、禁止外部主机ping linux,但是linux可以ping外部主机
                # iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
                # iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
            7、允许任意主机访问linux的80端口
                # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
                # iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
            8、保存规则
                # service iptables save

PS:还望指正,谢谢 –author by :潇湘雨错,zxhk

Linux中的堡垒--iptables的更多相关文章

  1. Linux中的防火墙----iptables

    防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网 ...

  2. linux中firewall与iptables防火墙服务

    火墙firewall-cmd --state 查看火墙的状态firewall-cmd --get-active-zones 目前所处的域firewall-cmd --get-default-zone ...

  3. linux中利用iptables+geoip过滤指定IP

    1. 前提条件 iptables >= 1.4.5 kernel-devel >= 3.7 2.  安装依赖包  代码如下 复制代码 # yum install gcc gcc-c++ m ...

  4. linux中iptables配置文件及命令详解详解

    iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables. 1.关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放. 下 ...

  5. linux中iptables配置文件及命令详解

    转自:https://www.cnblogs.com/itxiongwei/p/5871075.html iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconf ...

  6. LINUX中IPTABLES防火墙使用

    对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptable ...

  7. linux 中使用iptables 防止ddocs及cc攻击配置 。

    #防止SYN攻击,轻量级预防 iptables -N syn-floodiptables -A INPUT -p tcp –syn -j syn-floodiptables -I syn-flood ...

  8. Linux中的防火墙(Netfilter、Iptables、Firewalld)

    目录 Netfilter Iptables iptables做本地端口转发 Firewalld Netfilter Netfilter是Linux 2.4内核引入的全新的包过滤引擎,位于Linux内核 ...

  9. linux中iptables的用法

    iptables基本操作笔记 一.基本操作 #启动防火墙 service iptables start #停止防火墙 service iptables stop #重启防火墙 service ipta ...

随机推荐

  1. Yii防注入攻击笔记

    网站表单有注入漏洞须对所有用户输入的内容进行个过滤和检查,可以使用正则表达式或者直接输入字符判断,大部分是只允许输入字母和数字的,其它字符度不允许:对于内容复杂表单的内容,应该对html和script ...

  2. node.js在windows下的学习笔记(3)---npm

    1.什么是npm npm是Node.js的包管理器,它允许开发人员在Node.js的应用程序中创建,共享,重用模块.之前我们通过node的官网的安装程序安装了Node.js,那么npm就已经装好了的. ...

  3. 扯谈网络编程之Tcp SYN flood洪水攻击

    简单介绍 TCP协议要经过三次握手才干建立连接: (from wiki) 于是出现了对于握手过程进行的攻击.攻击者发送大量的SYN包,server回应(SYN+ACK)包,可是攻击者不回应ACK包,这 ...

  4. [Webpack 2] Optimize React size and performance with Webpack production plugins

    You can fine tune several webpack plugins to make your bundle as small as it can be for your specifi ...

  5. TCP并发server,每个客户一个子进程

    今天笔者带来的是server型号第一,这是最经常使用的模型的最基本的一个–TCP并发server,每个客户一个子进程. 首先简单介绍:TCP并发server,每个客户一个子进程,并发server调用f ...

  6. Tsar 服务器系统和应用信息的采集报告工具

    Tsar介绍 Tsar是淘宝的一个用来收集服务器系统和应用信息的采集报告工具,如收集服务器的系统信息(cpu,mem等),以及应用数据(nginx.swift等),收集到的数据存储在服务器磁盘上,可以 ...

  7. 标准I/O库之打开和关闭流

    下列三个函数打开一个标准I/O流. #include <stdio.h> FILE *fopen( const char *restrict pathname, const char *r ...

  8. docker image export or import

    docker save <image-name> docker load <  <bak>.tar

  9. C# 反射的简单用法

    新建两个项目:类库(Model)和控制台应用程序(ReflectTest). 在[Model]中添加一个类[User]: namespace Model { public class User { p ...

  10. 程序员带你学习安卓开发系列-Android文件存储

    这是程序员带你学习安卓开发系列教程.本文章致力于面向对象程序员可以快速学习开发安卓技术. 上篇文章:.Net程序员快速学习安卓开发-布局和点击事件的写法 主要讲解了布局和点击事件的写法. 上篇文章补充 ...