首先添加规则有两个参数:-A和-I,其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部,由于匹配规则是从上往下,依次查找的,可能出现配置的规则冲突导致后续的规则不起效

保存iptables规则

sudo iptables-save

保存ipv6 的iptables规则

sudo ip6tables-save

查看iptables规则

sudo iptables -L

查看iptables规则,以数字形式

sudo iptables -L -n

查看iptables规则的序号,用于删除规则参考

sudo iptables -L -n --line-numbers

清除所有iptables预设表filter里的所有规则

sudo iptabels -F

清除预设表filter中使用者自定链中的规则

sudo iptables -X

清除单条iptables规则

sudo iptables -D INPUT(链) 3(规则对应的序号)

修改单条iptables规则,使用 -R,修改INPUT链序号为3的规则为允许,第4条规则为拒绝,丢弃

sudo iptables -R INPUT 3 -j ACCEPT

sudo iptables -R INPUT 4 -j DROP

允许已经建立的连接发送和接收数据,以免设置链为DROP时远程ssh断开

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保证VPS可以运行的时候,可以为loopback网卡添加运行规则,插到第一行

sudo iptables -I INPUT 1 -i lo -j ACCEPT

允许某段IP访问本机的所有类型的所有端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p all -j ACCEPT

sudo iptables -I INPUT -s 192.168.0.0/16 -p all -j ACCEPT

允许本机127.0.0.1访问自身所有端口

sudo iptables -I INPUT -s 127.0.0.1 -p all -j ACCEPT

允许某段IP访问本机的TCP 3306端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p tcp --dport 3306 -j ACCEPT

允许某段IP访问本机的某段TCP端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p tcp --dport 3306:65525 -j ACCEPT

向所有IP开放ssh的远程连接,这里是已经更改了的19515端口,默认为22端口

sudo iptables -A INPUT -p tcp --dport 19515 -j ACCEPT

默认INPUT OUTPUT FORWORD 链都是全部接受,需要改为拒绝

确保ssh远程连接端口已经添加进 IPUNT 允许规则中,否则执行以下命令将可能会断开远程

sudo iptables -A INPUT -p tcp --dport 19515 -j ACCEPT #这里ssh端口为19515

sudo iptables -P INPUT DROP

可选项,需保证SSH端口已经添加各链的允许规则,否则会断开SSH连接并无法远程连接

sudo iptables -P OUTPUT DROP

sudo iptables -P FORWORD DROP

iptables规则配置后,无法访问外网,无法接收返回的数据,进行以下配置,并保证OUTPUT状态为ACCEPT,会使iptables允许由服务器本身请求的数据通过

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables 的持久化,由于重启ubuntu会导致iptables规则消失,需要持久化

1.安装iptables-persistent工具帮助我们持久化

sudo apt-get update

sudo apt-get install iptables-persistent -y

执行命令持久化

sudo netfilter-persistent save

sudo netfilter-persistent reload

2.将iptables规则存入文件,随网卡状态进行加载,保存

将iptables保存的规则保存入当前用户的文件

sudo iptables-save > /home/user/iptables.rules

在/etc/network/interfaces 网卡配置文件里加入相应内容

vim /etc/network/interfaces

添加内容

pre-up iptables-restore < /home/user/iptables.rules

post-down iptables-save > /home/user/iptables.rules

用到的参数解释:

pre-up: 网卡启用前的动作

up: 启用时候的动作

post-up: 启用后的动作

pre-down: 关闭前的动作

down: 关闭时动作

post-down: 关闭后动作

iptables的关闭,使用清除规则来实现

sudo iptables-save > /home/user/iptables.rules

sudo iptables -X  清除默认filter表里的自定义规则

sudo iptables -t nat -F   清除nat表里的规则

sudo iptables -t nat -X

sudo iptables -t mangle -F  清除nat表里的规则

sudo iptables -t mangle -X

sudo iptables -P INPUT ACCEPT   将INPUT链默认更改为全部接受

sudo iptables -P OUTPUT ACCEPT

sudo iptables -P  FORWORD ACCEPT

如果想了解深入一些,我个人觉得这个博主写的挺不错的朱双印的个人博客-Iptables详解

Ubuntu下Iptables的简单运用,开放/关闭端口,禁止/允许IP或IP段访问...的更多相关文章

  1. solr的访问权限管理及ubuntu下iptables的设置

    Apache Solr 是一个开源的搜索服务器,该平台默认允许匿名访问,攻击者可读取平台中各类敏感信息.之前考虑过增加账号密码访问,但是没有搞定,所以采用了曲线救国的方式,设置solr服务器只允许部分 ...

  2. Ubuntu下gcc的简单使用

    一直不怎么用gcc,今天看了大神们的笔试题,不得不动手开始写程序了,差距那个大啊. gcc是ubuntu下的终端编译器,可以用来写C.C++的程序,简单用法如下: vim name1.c 先用vim打 ...

  3. linux下tomcat无法远程访问(开放8080端口)

    我们在linux下配置了tomcat后发现,无法访问除了linux(如果是虚拟机的话,宿主机子根本无法访问tomcat),解决下吧 原因是我们的tomcat访问需要8080端口,但是从外部访问,我们的 ...

  4. centOs6和Centos7开放/关闭端口区别

    #centos6启动防火墙 service iptables start #centos6停止防火墙/关闭防火墙  service iptables stop #centos6重启防火墙 servic ...

  5. linux iptables开放/关闭端口命令

    在CentOS/RHEL 7以前版本上开启端口 #开放端口:8080/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT#将更改进行保存/etc/ ...

  6. Ubuntu下crontab启动、重启、关闭命令

    在Ubuntu14.04环境下,利用crontab编写shell脚本程序,定时执行php相关程序.在这个过程中,经常使用到的crontab命令如下: (root权限下) crontab启动:/etc/ ...

  7. Ubuntu下makefile的简单使用

    在Windows下,只需要简单的点击以下make,rebuild即可.而在Linux下,这样的IDE环境并没有提供,难道必须每一步都执行一遍吗?比较ok的做法自然是能够利用批处理脚本来进行操作了,这样 ...

  8. [置顶] 在Ubuntu下实现一个简单的Web服务器

    要求: 实现一个简单的Web服务器,当服务器启动时要读取配置文件的路径.如果浏览器请求的文件是可执行的则称为CGI程序,服务器并不是将这个文件发给浏览器,而是在服务器端执行这个程序,将它的标准输出发给 ...

  9. ubuntu下vim的简单配置

    该文章只是进行符合自己习惯的最基本的配置,更加高级的配置请参考更加有含量的博文! 1.打开vim下的配置文件 sudo vim /etc/vim/vimrc 2.在这个文件中,会有这么一句:synta ...

随机推荐

  1. Windows启动报错:无效的分区表 解决方法,哈哈

    Windows系统启动时出现Invalid Partition Table错误 2018-07-27 16:32 今天KB小网管跟大家分享一个在重装Windows系统时会出现的一个问题Invalid ...

  2. php文件更新后不生效?亲测有效!

    1,问题描述 一台windows Server2008 服务器上运行了iis7,其中存在php5.3和php5.5引擎的网页服务. 但实际使用中发现,修改php文件后,访问该文件的结果经常不能实时刷新 ...

  3. python--第五天练习题

    # 1.按alist中元素的age由大到小排序 alist = [{'name': 'a', 'age': 20}, {'name': 'b', 'age': 30}, {'name': 'v', ' ...

  4. change([[data],fn]) 当元素的值发生改变时,会发生 change 事件。

    change([[data],fn]) 概述 当元素的值发生改变时,会发生 change 事件.大理石平台价格表 该事件仅适用于文本域(text field),以及 textarea 和 select ...

  5. mysql自增id的下一个值

    SELECT AUTO_INCREMENT FROM information_schema.tables WHERE table_name='nst_t_department' AND table_s ...

  6. [TJOI2019]唱、跳、rap和篮球

    嘟嘟嘟 TJ律师函警告 20分暴力比较好拿,因为每一种学生可以理解为无限多,那么总方案数就是\(C_{n} ^ {4}\),然后我们枚举至少讨论cxk的有几组,容斥即可. 需要注意的是,容斥的时候还要 ...

  7. 【csp模拟赛3】bridge.cpp--矩阵加速递推

    题目描述 穿越了森林,前方有一座独木桥,连接着过往和未来(连接着上一题和下一题...). 这座桥无限长. 小 Q 在独木桥上彷徨了.他知道,他只剩下了 N 秒的时间,每一秒的时间里,他会向 左或向右移 ...

  8. 【线性代数】7-1:线性变换思想(The Idea of a Linear Transformation)

    title: [线性代数]7-1:线性变换思想(The Idea of a Linear Transformation) categories: Mathematic Linear Algebra k ...

  9. 图的基本存储的基本方式一(SDUT 3116)

    Problem Description 解决图论问题,首先就要思考用什么样的方式存储图.但是小鑫却怎么也弄不明白如何存图才能有利于解决问题.你能帮他解决这个问题么? Input 多组输入,到文件结尾. ...

  10. Linux中查看和修改分区的uuid方便挂载使用

    查看硬盘UUID: 两种方法: ls -l /dev/disk/by-uuid blkid /dev/sda1 修改分区UUID: 1.修改分区的UUID Ubuntu 使用 uuid命令 生成新的u ...