简介

关于iptables的介绍网上有很多的资料,大家可以自己找一些关于iptables的工作原理,以及四表五链的简介,对于学习iptables将会事半功倍。本博文将会例举几个工作中常用的iptables应用组合。

系统环境

centos6.7

服务器IP:10.220.5.166/24

客户端IP:10.220.5.188/24

iptables的filter表的INPUT链的默认规则为DROP

案列详解

1.设置默认规则

[root@ken ~]# iptables -P INPUT DROP             #设置INPUT链默认规则设置为DROP,工作中一般默认4.是drop
[root@ken ~]# iptables -P INPUT ACCEPT #设置INPUT链默认规则设置为ACCEPT
[root@ken ~]# iptables -P OUTPUT DROP #设置OUTPUT链默认规则设置为DROP,如果OUTPUT链开启DROP,相应组合后可防范反弹式木马
[root@ken ~]# iptables -P OUTPUT ACCEPT #设置OUTPUT链默认规则设置为ACCEPT

2.清空规则链

[root@ken ~]# iptables -t filter -F            #清空filter表规则
[root@ken ~]# iptables -t nat -F #清空nat表规则
[root@ken ~]# iptables -t mangle -F #清空mangle表规则
[root@ken ~]# iptables -t raw -F #清空raw表规则

3.查看规则链

[root@ken ~]# iptables -L -n --line -v

4.允许10.220.5.0/24网段的客户端可以访问本机的80端口

[root@ken ~]# iptables -A INPUT -s 10.220./ --dport  -j ACCEPT

5.实现单向ping(即服务器可以ping通客户端,客户端ping不通服务器端)

[root@ken ~]# iptables -A INPUT -p icmp --icmp-type  -d 10.220.5.166 -j ACCEPT
[root@ken ~]# iptables -A OUTPUT -p icmp --icmp-type -s 10.220.5.166 -j ACCEPT

注:--icmp-type 0 表示应答包

--icmp-type 8 表示请求包

6.只允许10.220.5.188发送httpd请求

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -p tcp --dport  --tcp-flags syn,ack,fin syn -j ACCEPT

7.限制只有10.220.5.188可以连接ssh

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -p tcp --dport  -j ACCEPT

8.允许10.220.5.188访问本机22,80,3306,100到200的端口

[root@ken ~]# iptables -A INPUT -p tcp -m multiport --dport ,,,: -m state --state NEW,ESTABLISHED -j ACCEPT

9.只允许ip地址10.220.5.10至10.220.5.20之间的主机访问本机的web网站

[root@ken ~]# iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 10.220.5.10-10.220.5.20 -j ACCEPT

10. 防暴力破解&DOS攻击,限制请求登录22端口的频率

[root@ken ~]# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit /minute --limit-burst  -j ACCEPT
[root@ken ~]# iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT

11.限制只能从10.220.5.188登录后台界面(admin.php)

[root@ken ~]# iptables -A INPUT -s 10.220.5.188 -m string --algo bm --string "admin.php" -j ACCEPT

12.限制每个用户只能同时登录5个ssh

[root@ken ~]# iptables -A INPUT -p tcp --dport  -m connlimit ! --connlimit-above  -j ACCEPT

13.限制每个客户端只能与80端口并发连接10个链接

[root@ken ~]#  iptables -A INPUT -p tcp --dport  -m state --state NEW,ESTABLISHED -m connlimit !--connlimit-above  -j ACCEPT

14.指定在1h只登录达到5次之上的,该次链接请求会被丢弃

[root@ken ~]# iptables -A INPUT -p tcp --dport  -m state --state NEW -m recent --name loginSSH --update --seconds  --hitcount  -j DROP

15.保存iptables规则

[root@ken ~]# service iptables save

熟练掌握以上15个iptables配置,你也可以和Hacker斗智斗勇,一决高下了。

iptables实战案例详解-技术流ken的更多相关文章

  1. NTP时间服务器实战应用详解-技术流ken

    简介 在搭建集群服务中,要保证各节点时间一致,NTP时间服务器就成为了一个好帮手了. 系统环境 系统版本:centos6.7 服务器IP:10.220..5.166/24 客户端IP:10.220.5 ...

  2. samba企业级实战应用详解-技术流ken

    1.简介 Samba是一套使用SMB(Server Message Block)协议的应用程序, 通过支持这个协议, Samba允许Linux服务器与Windows系统之间进行通信,使跨平台的互访成为 ...

  3. MySQL系列详解三:MySQL中各类日志详解-技术流ken

    前言 日志文件记录了MySQL数据库的各种类型的活动,MySQL数据库中常见的日志文件有 查询日志,慢查询日志,错误日志,二进制日志,中继日志 .下面分别对他们进行介绍. 查询日志 1.查看查询日志变 ...

  4. 实战!基于lamp安装wordpress详解-技术流ken

    简介 LAMP 是Linux Apache MySQL PHP的简写,其实就是把Apache, MySQL以及PHP安装在Linux系统上,组成一个环境来运行动态的脚本文件.现在基于lamp搭建wor ...

  5. KVM虚拟化使用详解--技术流ken

    KVM介绍 Kernel-based Virtual Machine的简称,是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中. KVM的虚拟化需要硬件支持 ...

  6. cobbler批量安装系统使用详解-技术流ken

    前言 cobbler是一个可以实现批量安装系统的Linux应用程序.它有别于pxe+kickstart,cobbler可以实现同个服务器批量安装不同操作系统版本. 系统环境准备及其下载cobbler ...

  7. linux四剑客-grep/find/sed/awk/详解-技术流ken

    四剑客简介 相信接触过linux的大家应该都学过或者听过四剑客,即sed,grep,find,awk,有人对其望而生畏,有人对其爱不释手.参数太多,变化形式太多,使用超级灵活,让一部分人难以适从继而望 ...

  8. pxe+kickstart自动化批量安装系统详解-技术流ken

    前言 pxe+kickstart是一款可以实现自动化批量安装系统的服务,比较经典,下面将详细介绍此服务的安装和使用. 系统环境准备 系统版本:CentOS release 6.7 (Final) 内网 ...

  9. MySQL系列详解五: xtrabackup实现完全备份及增量备份详解-技术流ken

    xtrabackup简介 xtrabackup是一个用来对mysql做备份的工具,它可以对innodb引擎的数据库做热备.xtrabackup备份和还原速度快,备份操作不会中断正在执行的事务,备份完成 ...

随机推荐

  1. shell搭建CentOS_7基础环境

    #!/bin/bash#Auth:Darius#CentOS_7配置实验环境eno=`ifconfig|awk '{print $1}'|head -1|awk -F ":" '{ ...

  2. search

    |—search()—|—添加一个列表变量Expend,存储每个小格扩展时为第几步,可打印出 |                    |—打印运动表 |—A*—|— heuristic() |—Dy ...

  3. 关于信息系统设计与开发——案例:VIP系统

    一.关于信息系统设计与开发 信息系统开发流程先对需求分析系统分析,设计数据库,设计程序,再对测试数据进行测试. 在程序设计中运用了接口:定义一个接口,可以有多种实现.变量声明为接口变量,调用接口方法, ...

  4. Python基础-数据类型-转摘

    1.数字 2 是一个整数的例子.长整数 不过是大一些的整数.3.23和52.3E-4是浮点数的例子.E标记表示10的幂.在这里,52.3E-4表示52.3 * 10-4.(-5+4j)和(2.3-4. ...

  5. linux(Redhat7)安装Apache

    1.下载apache安装包以及安装依赖的包(apr.apr-util.pcre)wget https://mirrors.cnnic.cn/apache/httpd/httpd-2.4.37.tar. ...

  6. 3-Fiddler修改请求或响应内容

    1.修改请求内容 方法一:设置请求前断点,修改请求后发送 1)设置断点 2)选中请求,在inspectors下修改请求内容 3)修改请求后,点击Break on Response按钮,进行请求的发送 ...

  7. Think in java(1)

      OOP编程思想认为万事万物皆对象,而在设计类(class)的时候,就是从我们生活中或者某些事物中抽象出一个具有共同属性,共同行为的描述(类).在实际的开发中,我们一般会不自觉的这样做:假设有一个人 ...

  8. 解析Java分布式系统中的缓存架构(上)

    作者 陈彩华 文章转载交流请联系 caison@aliyun.com 本文主要介绍大型分布式系统中缓存的相关理论,常见的缓存组件以及应用场景. 1 缓存概述 2 缓存的分类 缓存主要分为以下四类 2. ...

  9. Android MediaPlayer SeekTo 在 8.0 版本上优化说明

    android使用 mediaPlayer 播放video视频过程中, 当用户退出当前播放,再从后台恢复播放时,需要跳转到之前退出的时间点继续播放.使用的方法基本都是 SeekTo 之前的时间点,但是 ...

  10. Javascript高级编程学习笔记(78)—— 表单(6)HTML约束验证API

    自动切换焦点 使用JS可以极大地提升表单的易用性 其中最常用的一种就是当用户填写完当前字段后焦点自动切换到下一个字段 以下方的HTML代码为例: <input type="text&q ...