首先添加规则有两个参数:-A和-I,其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部,由于匹配规则是从上往下,依次查找的,可能出现配置的规则冲突导致后续的规则不起效

保存iptables规则

sudo iptables-save

保存ipv6 的iptables规则

sudo ip6tables-save

查看iptables规则

sudo iptables -L

查看iptables规则,以数字形式

sudo iptables -L -n

查看iptables规则的序号,用于删除规则参考

sudo iptables -L -n --line-numbers

清除所有iptables预设表filter里的所有规则

sudo iptabels -F

清除预设表filter中使用者自定链中的规则

sudo iptables -X

清除单条iptables规则

sudo iptables -D INPUT(链) 3(规则对应的序号)

修改单条iptables规则,使用 -R,修改INPUT链序号为3的规则为允许,第4条规则为拒绝,丢弃

sudo iptables -R INPUT 3 -j ACCEPT

sudo iptables -R INPUT 4 -j DROP

允许已经建立的连接发送和接收数据,以免设置链为DROP时远程ssh断开

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保证VPS可以运行的时候,可以为loopback网卡添加运行规则,插到第一行

sudo iptables -I INPUT 1 -i lo -j ACCEPT

允许某段IP访问本机的所有类型的所有端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p all -j ACCEPT

sudo iptables -I INPUT -s 192.168.0.0/16 -p all -j ACCEPT

允许本机127.0.0.1访问自身所有端口

sudo iptables -I INPUT -s 127.0.0.1 -p all -j ACCEPT

允许某段IP访问本机的TCP 3306端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p tcp --dport 3306 -j ACCEPT

允许某段IP访问本机的某段TCP端口

sudo iptables -I INPUT -s 192.168.2.0/24 -p tcp --dport 3306:65525 -j ACCEPT

向所有IP开放ssh的远程连接,这里是已经更改了的19515端口,默认为22端口

sudo iptables -A INPUT -p tcp --dport 19515 -j ACCEPT

默认INPUT OUTPUT FORWORD 链都是全部接受,需要改为拒绝

确保ssh远程连接端口已经添加进 IPUNT 允许规则中,否则执行以下命令将可能会断开远程

sudo iptables -A INPUT -p tcp --dport 19515 -j ACCEPT #这里ssh端口为19515

sudo iptables -P INPUT DROP

可选项,需保证SSH端口已经添加各链的允许规则,否则会断开SSH连接并无法远程连接

sudo iptables -P OUTPUT DROP

sudo iptables -P FORWORD DROP

iptables规则配置后,无法访问外网,无法接收返回的数据,进行以下配置,并保证OUTPUT状态为ACCEPT,会使iptables允许由服务器本身请求的数据通过

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables 的持久化,由于重启ubuntu会导致iptables规则消失,需要持久化

1.安装iptables-persistent工具帮助我们持久化

sudo apt-get update

sudo apt-get install iptables-persistent -y

执行命令持久化

sudo netfilter-persistent save

sudo netfilter-persistent reload

2.将iptables规则存入文件,随网卡状态进行加载,保存

将iptables保存的规则保存入当前用户的文件

sudo iptables-save > /home/user/iptables.rules

在/etc/network/interfaces 网卡配置文件里加入相应内容

vim /etc/network/interfaces

添加内容

pre-up iptables-restore < /home/user/iptables.rules

post-down iptables-save > /home/user/iptables.rules

用到的参数解释:

pre-up: 网卡启用前的动作

up: 启用时候的动作

post-up: 启用后的动作

pre-down: 关闭前的动作

down: 关闭时动作

post-down: 关闭后动作

iptables的关闭,使用清除规则来实现

sudo iptables-save > /home/user/iptables.rules

sudo iptables -X  清除默认filter表里的自定义规则

sudo iptables -t nat -F   清除nat表里的规则

sudo iptables -t nat -X

sudo iptables -t mangle -F  清除nat表里的规则

sudo iptables -t mangle -X

sudo iptables -P INPUT ACCEPT   将INPUT链默认更改为全部接受

sudo iptables -P OUTPUT ACCEPT

sudo iptables -P  FORWORD ACCEPT

如果想了解深入一些,我个人觉得这个博主写的挺不错的朱双印的个人博客-Iptables详解

Ubuntu下Iptables的简单运用,开放/关闭端口,禁止/允许IP或IP段访问...的更多相关文章

  1. solr的访问权限管理及ubuntu下iptables的设置

    Apache Solr 是一个开源的搜索服务器,该平台默认允许匿名访问,攻击者可读取平台中各类敏感信息.之前考虑过增加账号密码访问,但是没有搞定,所以采用了曲线救国的方式,设置solr服务器只允许部分 ...

  2. Ubuntu下gcc的简单使用

    一直不怎么用gcc,今天看了大神们的笔试题,不得不动手开始写程序了,差距那个大啊. gcc是ubuntu下的终端编译器,可以用来写C.C++的程序,简单用法如下: vim name1.c 先用vim打 ...

  3. linux下tomcat无法远程访问(开放8080端口)

    我们在linux下配置了tomcat后发现,无法访问除了linux(如果是虚拟机的话,宿主机子根本无法访问tomcat),解决下吧 原因是我们的tomcat访问需要8080端口,但是从外部访问,我们的 ...

  4. centOs6和Centos7开放/关闭端口区别

    #centos6启动防火墙 service iptables start #centos6停止防火墙/关闭防火墙  service iptables stop #centos6重启防火墙 servic ...

  5. linux iptables开放/关闭端口命令

    在CentOS/RHEL 7以前版本上开启端口 #开放端口:8080/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT#将更改进行保存/etc/ ...

  6. Ubuntu下crontab启动、重启、关闭命令

    在Ubuntu14.04环境下,利用crontab编写shell脚本程序,定时执行php相关程序.在这个过程中,经常使用到的crontab命令如下: (root权限下) crontab启动:/etc/ ...

  7. Ubuntu下makefile的简单使用

    在Windows下,只需要简单的点击以下make,rebuild即可.而在Linux下,这样的IDE环境并没有提供,难道必须每一步都执行一遍吗?比较ok的做法自然是能够利用批处理脚本来进行操作了,这样 ...

  8. [置顶] 在Ubuntu下实现一个简单的Web服务器

    要求: 实现一个简单的Web服务器,当服务器启动时要读取配置文件的路径.如果浏览器请求的文件是可执行的则称为CGI程序,服务器并不是将这个文件发给浏览器,而是在服务器端执行这个程序,将它的标准输出发给 ...

  9. ubuntu下vim的简单配置

    该文章只是进行符合自己习惯的最基本的配置,更加高级的配置请参考更加有含量的博文! 1.打开vim下的配置文件 sudo vim /etc/vim/vimrc 2.在这个文件中,会有这么一句:synta ...

随机推荐

  1. day42_Oracle学习笔记_01

    一.Oracle Database 的基本概念 1.1.一个Oracle服务器 详解如下: 一个Oracle服务器是一个关系型数据管理系统(RDBMS),它提供开放的,全面的,近乎完整的信息管理.   ...

  2. Cogs 58. 延绵的山峰(st表)

    延绵的山峰 ★★☆ 输入文件:climb.in 输出文件:climb.out 简单对比 时间限制:1 s 内存限制:512 MB 问题描述 有一座延绵不断.跌宕起伏的山,最低处海拔为0,最高处海拔不超 ...

  3. element-ui遮罩层el-dialog的使用

    template <el-button type="text" @click="dialogVisible = true">点击打开 Dialog& ...

  4. P1484 种树——数据结构优先队列

    种了一下午的树,终于给搞明白了((多谢各位大神的题解)(题解就不能讲清楚点吗(看不见看不见))): 你有k个树,你可以种在一条直线上,每个位置都有一个价值,如果你把树种在这里就可以获得这个价值,但是条 ...

  5. python 监听键盘事件pyHook

    #coding=utf- import pyHook import pythoncom # 监听到鼠标事件调用 def onMouseEvent(event): if(event.MessageNam ...

  6. GEOS库的编译

    下载地址https://trac.osgeo.org/geos/ 选择最新的geos-3.6.2版本,下载 将geos-3.6.2放在VS2012文件夹下,本例是D:\VS2012 打开VS2012开 ...

  7. spring事务配置异常

    spring事务配置不回滚spring事务管理配置,一般来说都是可以回滚的,最近在开发的过程中遇到了一个异常不回滚的问题,最终找到了原因,贴出来一下 1.首先这里定义一个接口 在接口中定义几个方法 2 ...

  8. 【locust】使用locust + boomer实现对接口的压测

    背景 很早之前,考虑单机执行能力,使用locust做过公司短信网关的压测工作,后来发现了一个golang版本的locust,性能是python版本的5到10倍以上,但是一直没有机会使用. 最近公司想做 ...

  9. GA函数优化

    一.遗传算法简介         遗传算法(Genetic Algorithms,GA)是1962年美国人提出,模拟自然界遗传和生物进化论而成的一种并行随机搜索最优化方法. 与自然界中“优胜略汰,适者 ...

  10. GetProp和SetProp的区别

    GetProp 函数功能:该函数从给定窗口的属性列表中检索数据句柄.给定的字符串标识了要检索的句柄.该字符串和句柄必须在前一次调用SetProp函数时已经加到属性表中. 函数原型:HANDLE Get ...