iptables防火墙端口规则配置 | 您所在的位置:网站首页 › iptables添加策略 › iptables防火墙端口规则配置 |
iptables防火墙端口规则配置:(1).阻止用户访问服务器的22端口: 清除原有的防火墙的规则 iptables -F iptables -t filter -A INPUT -p tcp --dport 22 -j DROP ---- -A表示添加规则到相应链,默认加到结尾 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP ---- -I 表示插入规则到相应链上,默认加到首部 iptables -t filter -I INPUT 3 -p tcp --dport 22 -j DROP --- 指定规则插入位置 iptables -t filter -R INPUT 6 -p tcp --dport 8080 -j DROP --- -R 指定将配置好的规则信息进行替换 iptables -t filter -D INPUT 规则序号 防火墙参数信息: -A --- 表示将规则添加到指定链上 -I --- 表示将规则插入到指定链上 -D --- 表示将规则从指定链上删除 -R --- 表示将规则信息进行修改 -p --- 指定相应服务协议信息(tcp udp icmp all) --dport --- 表示指定目标端口信息 --sport --- 表示指定源端口号信息 -j --- 指定对相应匹配规则执行什么操作(ACCEPT DROP* REJECT) 注:这里的DROP表示静默拒绝,对方找不到原因,REJECT表示告诉对方我拒绝了你,推荐用DROP (2).阻止相应网段主机访问服务器指定端口服务 192.168.1.0/24 -- 22端口(阻止) iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -s 192.168.1.175 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -i eth0 -s 10.0.0.9 -p tcp --dport 22 -j DROP 参数信息: -s ---指定匹配的源地址网段信息,或者匹配的主机信息 -d ---指定匹配的目标地址网段信息,或者匹配的主机信息 -i ---指定匹配的进入流量接口信息 只能配置在INPUT链上 -o ---指定匹配的发出流量接口信息 只能配置在OUTPUT链上 (3).除了某个地址可以访问22端口之外,其余地址都不能访问 只允许192.168.1.5访问22端口,其余都不可以访问 iptables -t filter -A INPUT -s 192.168.1.5 -p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT ! -s 192.168.1.5 -p tcp --dport 22 -j ACCEPT(通过利用 !进行规则取反,进行策略控制) (4).指定阻止访问多个端口服务: 22-80,22,24,25 iptables -A INPUT -s 192.168.1.175 -p tcp --dport 22:80 -j DROP iptables -A INPUT -s 192.168.1.175 -m multiport -p tcp --dport 22,24,25 -j DROP 参数信息: -m --指定应用扩展模块参数 multiport ---可以匹配多个不连续端口信息 (5).通过防火墙实现禁ping功能 实现ping功能测试链路是否正常,基于icmp协议实现的, icmp协议有多种类型: icmp-type 8:请求类型 icmp-type 0:回复类型 情景一:实现禁止主机访问防火墙服务器(禁ping) iptables -A INPUT -p icmp --icmp-type 8 -j DROP iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP 情景二:实现禁止防火墙访问主机服务器(禁ping) iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP iptables -A INPUT -p icmp --icmp-type 0 -j DROP 默认情况:所有icmp类型都禁止 iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP iptables -A OUTPUT -p icmp -m icmp --icmp-type any -j DROP (6).实现防火墙状态机制控制 NEW: 发送数据包里面控制字段为syn=1,发送第一次握手的数据包 ESTABLISHED: 请求数据包发出之后,响应回来的数据包称为回复的包 RELATED: 基于一个连接,然后建立新的连接 INVALID: 无效的的数据包,数据包结构不符合正常要求的 iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT |
CopyRight 2018-2019 实验室设备网 版权所有 |