iptables防火墙端口规则配置

iptables防火墙端口规则配置：(1).阻止用户访问服务器的22端口： 清除原有的防火墙的规则 iptables  -F  iptables -t filter -A INPUT -p tcp --dport 22 -j DROP    ---- -A表示添加规则到相应链，默认加到结尾 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP    ---- -I 表示插入规则到相应链上，默认加到首部 iptables -t filter -I INPUT 3 -p tcp --dport 22 -j DROP  --- 指定规则插入位置 iptables -t filter -R INPUT 6 -p tcp --dport 8080 -j DROP   --- -R 指定将配置好的规则信息进行替换 iptables -t filter -D INPUT 规则序号

防火墙参数信息： -A   --- 表示将规则添加到指定链上 -I   --- 表示将规则插入到指定链上 -D   --- 表示将规则从指定链上删除 -R   --- 表示将规则信息进行修改 -p   --- 指定相应服务协议信息（tcp udp icmp all） --dport    --- 表示指定目标端口信息 --sport    --- 表示指定源端口号信息 -j   --- 指定对相应匹配规则执行什么操作（ACCEPT DROP* REJECT） 注：这里的DROP表示静默拒绝，对方找不到原因，REJECT表示告诉对方我拒绝了你，推荐用DROP

(2).阻止相应网段主机访问服务器指定端口服务 192.168.1.0/24   -- 22端口（阻止） iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -s 192.168.1.175 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -i eth0 -s 10.0.0.9 -p tcp --dport 22 -j DROP

参数信息： -s  ---指定匹配的源地址网段信息，或者匹配的主机信息 -d  ---指定匹配的目标地址网段信息，或者匹配的主机信息 -i  ---指定匹配的进入流量接口信息 只能配置在INPUT链上 -o  ---指定匹配的发出流量接口信息 只能配置在OUTPUT链上

(3).除了某个地址可以访问22端口之外，其余地址都不能访问 只允许192.168.1.5访问22端口，其余都不可以访问 iptables -t filter -A INPUT -s 192.168.1.5 -p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT ! -s 192.168.1.5 -p tcp --dport 22 -j ACCEPT（通过利用 ！进行规则取反，进行策略控制）

(4).指定阻止访问多个端口服务： 22-80,22,24,25 iptables -A INPUT -s 192.168.1.175 -p tcp --dport 22:80 -j DROP iptables -A INPUT -s 192.168.1.175 -m multiport  -p tcp --dport 22,24,25 -j DROP

参数信息： -m   --指定应用扩展模块参数   multiport ---可以匹配多个不连续端口信息

(5).通过防火墙实现禁ping功能 实现ping功能测试链路是否正常，基于icmp协议实现的， icmp协议有多种类型： icmp-type 8：请求类型   icmp-type 0：回复类型

情景一：实现禁止主机访问防火墙服务器（禁ping） iptables -A INPUT -p icmp --icmp-type 8 -j DROP iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP

情景二：实现禁止防火墙访问主机服务器（禁ping） iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP iptables -A INPUT -p icmp --icmp-type 0 -j DROP

默认情况：所有icmp类型都禁止 iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP iptables -A OUTPUT -p icmp -m icmp --icmp-type any -j DROP

(6).实现防火墙状态机制控制 NEW: 发送数据包里面控制字段为syn=1，发送第一次握手的数据包 ESTABLISHED: 请求数据包发出之后，响应回来的数据包称为回复的包 RELATED: 基于一个连接，然后建立新的连接 INVALID: 无效的的数据包，数据包结构不符合正常要求的

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT