|
|
1、安装iptables防火墙
% K) g2 l* j; }CentOS执行:yum install iptables
) t1 a" i- [- R% ?9 s- A5 g Debian/Ubuntu执行:apt-get install iptables
( l$ H/ ?# k/ ?+ f% f
" V, t; h m: @2、清除已有iptables规则
* y- l) K5 d& O. [iptables -F( x& z/ d7 t" T% Q3 l w
iptables -X
% J; ~6 c9 I2 R# M' y2 i( v9 V. V( A iptables -Z
" j4 q+ o+ S2 c+ y0 d, k: n* r h! d* V5 C! R: n
3、开放指定的端口
/ l3 f5 L" O/ p& o C0 M#允许本地回环接口(即运行本机访问本机)" B- j- a- z8 }' ?4 q
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
3 L; Q8 f+ u5 ^3 g6 s0 T # 允许已建立的或相关连的通行
2 w; q3 o0 X7 p) i0 i! Hiptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT' N0 E% X% Y1 i0 }
#允许所有本机向外的访问2 c1 h. T/ X2 ^- i# p t
iptables -A OUTPUT -j ACCEPT8 E/ S9 ?0 J/ o6 c3 ~
# 允许访问22端口* w" D5 a7 F2 b/ l+ X: E6 D. E6 t
iptables -A INPUT -p tcp –dport 22 -j ACCEPT0 j D8 o( }' r5 p0 r% C
#允许访问80端口
7 d5 ?# l" s) E1 e6 x `, M( b6 {8 Aiptables -A INPUT -p tcp –dport 80 -j ACCEPT4 j/ y$ R& L9 J% o
#允许FTP服务的21和20端口
% @4 D, a$ F' ~iptables -A INPUT -p tcp –dport 21 -j ACCEPT1 i0 |3 r# R0 x9 ?
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
o, |1 k6 g- e #如果有其他端口的话,规则也类似,稍微修改上述语句就行4 i6 V, _. r1 |2 ?0 Z+ {& w
#禁止其他未允许的规则访问
5 g/ b1 v3 r0 s; o" E7 Q+ jiptables -A INPUT -j REJECT
2 f! k5 V3 [4 B$ l4 b2 m iptables -A FORWARD -j REJECT& C: }$ e' L. i/ ?% f; {
$ u! E2 ?( x. Y$ S0 q
4、屏蔽IP0 d/ V3 W+ ?# N
#如果只是想屏蔽IP的话3、“开放指定的端口”可以直接跳过。
4 K1 S: ] |: D j#屏蔽单个IP的命令是
4 n3 K" ~1 e# {& K: x6 d% s3 E# fiptables -I INPUT -s 123.45.6.7 -j DROP
Z( u$ T/ P5 w( G% b. O+ u #封整个段即从123.0.0.1到123.255.255.254的命令- \2 F1 A1 d, A+ Y2 j0 R7 ~
iptables -I INPUT -s 123.0.0.0/8 -j DROP2 S- N2 [7 z0 i# v* E: i$ m6 p# t
#封IP段即从123.45.0.1到123.45.255.254的命令- [- e# w5 T) P( L7 V
iptables -I INPUT -s 124.45.0.0/16 -j DROP+ `( z2 j Z+ ]3 `. m/ S
#封IP段即从123.45.6.1到123.45.6.254的命令是
7 N$ |, s7 H6 ?4 B8 ]" siptables -I INPUT -s 123.45.6.0/24 -j DROP% _1 f) L7 k- Q1 R% i& x* j5 x
$ J0 G- K6 d7 ?6 t0 y2 l
4、查看已添加的iptables规则
+ R: l; W% V; r! Uiptables -L -n
. [" n$ I+ |# {, ^, w v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
, U& w+ q V- W% t; f% w. Y$ r0 vx:在 v 的基础上,禁止自动单位换算(K、M)
! x$ L, F& i9 _% K3 a3 ln:只显示IP地址和端口号,不将ip解析为域名% T2 Q& y- @) d
6 k# K2 n7 N: X2 `% M: D( J' P5、删除已添加的iptables规则
2 ]$ g8 N/ O/ y( a 将所有iptables以序号标记显示,执行:
4 Y' X8 c7 s* T A- B. X5 eiptables -L -n –line-numbers t, N: z( @; [* } `# A* m1 s
比如要删除INPUT里序号为1的规则,执行:
+ m$ ^ e/ U* ? k4 ]0 {iptables -D INPUT 1
2 L% f3 B9 \( m! o! c* n- x6 z5 u4 O r- e1 h5 k e7 a
6、iptables的开机启动及规则保存' F" ?7 ^/ g, V5 z! R" k3 Y% v
chkconfig –level 345 iptables on
' b' u5 h/ A, X3 |3 \5 a CentOS上可以执行:service iptables save保存规则 m& M y. |/ S9 z: l/ E9 x
linux下使用iptables封ip段的一些常见命令:
2 ~+ A/ W* B# p+ v8 s7 h 封单个IP的命令是:9 l H4 L7 F: H
iptables -I INPUT -s 211.1.0.0 -j DROP
9 Z% h; j- @8 U封IP段的命令是:
& ^) l" t5 g, L) Y/ {. a& n7 Hiptables -I INPUT -s 211.1.0.0/16 -j DROP/ \3 I r# S' G. I4 `+ Z# P4 r; P
iptables -I INPUT -s 211.2.0.0/16 -j DROP
: A8 J8 c$ R+ o, m iptables -I INPUT -s 211.3.0.0/16 -j DROP. t1 c/ \* k; X
/ G+ H, Z7 ? C6 [2 n+ U: u3 J
封整个段的命令是:
3 V% v+ M6 E3 j3 E9 f/ x, |' Giptables -I INPUT -s 211.0.0.0/8 -j DROP
9 s; `4 `5 f( A9 G6 q
E% l! D& G, ~- u( h" f封几个段的命令是:
: V* N; A$ o3 g, ^2 Jiptables -I INPUT -s 61.37.80.0/24 -j DROP0 E8 E# D3 C/ b9 A# F
iptables -I INPUT -s 61.37.81.0/24 -j DROP
! Y/ }8 z4 X' f6 [. v0 F
( [# H u, E4 V+ F! n9 ?解封的话:7 C% y; X( F o
iptables -D INPUT -s IP地址 -j REJECT
5 F+ ^6 }4 |: Y* `6 _ iptables -F 全清掉了
. e# T& L7 j& z# P% z4 ^' V5 x
) l. X- e U! Q. `7 h9 }, a, L& E关闭: /etc/rc.d/init.d/iptables stop
: g0 S. \2 q v$ L启动: /etc/rc.d/init.d/iptables start
, }- V. Z& |# e$ e重启: /etc/rc.d/init.d/iptables restart/ }& Y0 d/ g$ w, q/ J
1 ]# U) t( _, f5 `( f, p2 T( S1、重启后生效
, H, Z( U$ d# q! v. T' B& O' [# z$ d 开启:chkconfig iptables on( J& f7 [9 B6 @+ U$ x' @! n
关闭:chkconfig iptables off8 }9 p# F* `1 O3 U
2、即时生效,重启后失效1 y; X) i [/ U+ X& N) J
开启:service iptables start9 ^: `( c! U3 o4 a. l
关闭:service iptables stop |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-13 22:30:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡