找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 11540|回复: 0

iptables的各种用法,各种的实例!

[复制链接]
发表于 2013-3-13 22:30:40 | 显示全部楼层 |阅读模式
1、安装iptables防火墙
) `1 Z( V4 y6 J8 ZCentOS执行:yum install iptables
4 K3 D; z( E; c: O6 e Debian/Ubuntu执行:apt-get install iptables' [) O" C+ D3 B7 s" ?  X7 R( u

; W( r$ N4 E$ P; u2、清除已有iptables规则. J* E( X$ T# A3 v. x
iptables -F, C% A5 j2 J4 K, b" n
iptables -X
+ q1 W5 x# _+ u+ O. ?$ U iptables -Z' S- b& _6 d! J. d" A. L7 u
: W: H/ N1 i& A) o- e& s5 L2 v% z. I
3、开放指定的端口, v& R' ]2 Z; A  a
#允许本地回环接口(即运行本机访问本机)
  e. w2 {1 E; Y6 S* n2 K8 h% w9 `iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT, s6 h$ B' o' J; U; X. z& J' O/ G
# 允许已建立的或相关连的通行
' i1 ^; @- q% h5 s- |1 o! ~iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
! g6 T# t( m" t% M! n #允许所有本机向外的访问0 j; o8 e# K! v
iptables -A OUTPUT -j ACCEPT# ]1 A9 x( U$ [* D! x
# 允许访问22端口
6 O, \- n# u, |iptables -A INPUT -p tcp –dport 22 -j ACCEPT
7 V) u1 M* @& S4 e #允许访问80端口* @7 V8 n4 v/ T) J+ b! h( z) k
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
) M/ J8 ^" M4 c' n2 ] #允许FTP服务的21和20端口' t' L2 r6 ?3 T) F
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
) _+ y$ @0 |, I4 w iptables -A INPUT -p tcp –dport 20 -j ACCEPT
$ q6 D  c4 d$ d( N #如果有其他端口的话,规则也类似,稍微修改上述语句就行# ]3 x; n, D& [; H2 {
#禁止其他未允许的规则访问
# V8 L% _& n1 Y' Ciptables -A INPUT -j REJECT7 N0 E$ _' U& ?* E/ L5 n& V
iptables -A FORWARD -j REJECT
) |; V6 B0 Z  j% D/ g
4 e1 }7 o6 h3 b4、屏蔽IP5 ?3 I0 e$ p/ |  C% A
#如果只是想屏蔽IP的话3、“开放指定的端口”可以直接跳过。! S! P. o" {3 o/ ], ~( B2 z" h9 l
#屏蔽单个IP的命令是% n; m1 q1 F- p9 D1 |* u
iptables -I INPUT -s 123.45.6.7 -j DROP
3 }2 y# q) i% j #封整个段即从123.0.0.1到123.255.255.254的命令
; ^  R& f6 ^) K( V8 {iptables -I INPUT -s 123.0.0.0/8 -j DROP. b, e9 [( X& k& Q+ r; x3 \7 O
#封IP段即从123.45.0.1到123.45.255.254的命令1 a6 |) x1 P; }- G. i. v8 m+ E, [
iptables -I INPUT -s 124.45.0.0/16 -j DROP
6 y& y6 d& C! D. H/ p7 @ #封IP段即从123.45.6.1到123.45.6.254的命令是1 \. i  K3 j, \5 |
iptables -I INPUT -s 123.45.6.0/24 -j DROP
: ?1 {9 v6 }7 i% e! I! {( u
+ J* u9 j! X0 O6 b6 `0 l4、查看已添加的iptables规则" o" y  K- _# D8 E9 t
iptables -L -n
9 w, b! M; D/ H8 } v:显示详细信息,包括每条规则的匹配包数量和匹配字节数3 M" ~- o! g! Z
x:在 v 的基础上,禁止自动单位换算(K、M)
5 I0 V$ z; f4 n: Q/ C8 Y! Gn:只显示IP地址和端口号,不将ip解析为域名
% w2 [3 u" ~, J7 ]1 T0 i2 T+ [
* @( b$ H, ^. I. _( V0 i; P5、删除已添加的iptables规则
) m) c; Y- h/ u9 b, i 将所有iptables以序号标记显示,执行:
, m$ d" G: ^7 S' X, kiptables -L -n –line-numbers
: [+ N4 t5 w5 s, F  t7 W7 K" }/ x比如要删除INPUT里序号为1的规则,执行:
) W9 J: `+ g( s, U3 {iptables -D INPUT 1
: K# g9 ~& k1 I7 m, }- b* j3 X# w4 g& v! e4 K# z
6、iptables的开机启动及规则保存1 E3 R# I  `/ L" I0 _
chkconfig –level 345 iptables on
4 z- m3 ]( c: N6 \8 C( k( | CentOS上可以执行:service iptables save保存规则8 Q3 H  o% U, X) N# W( L# |9 e- V
linux下使用iptables封ip段的一些常见命令:
2 X3 P' q8 Z; ]' L6 k& n. u9 H- G+ g3 r 封单个IP的命令是:: n+ J5 t6 a9 i
iptables -I INPUT -s 211.1.0.0 -j DROP
9 y# _6 d0 B2 D6 A# Y封IP段的命令是:
5 t: O) `4 s8 w; e1 m' V* siptables -I INPUT -s 211.1.0.0/16 -j DROP
& i3 g# ?1 U8 s9 S4 B1 |- s0 T iptables -I INPUT -s 211.2.0.0/16 -j DROP
. c) I# n) `7 @. U* F+ q5 }* D: ?, B iptables -I INPUT -s 211.3.0.0/16 -j DROP+ o9 {& |. q& a, t( U. z
% p1 d* B+ D( k9 Q! C& \6 x7 u
封整个段的命令是:& v7 ^) B" {: x( Y2 s/ A% j
iptables -I INPUT -s 211.0.0.0/8 -j DROP4 z% ^6 K: C9 b& I' c. z
! \) q1 n( s, l4 L7 a
封几个段的命令是:2 \. {, x, ~8 f$ C* z* z
iptables -I INPUT -s 61.37.80.0/24 -j DROP' {0 n0 T( p5 [# |( r0 p
iptables -I INPUT -s 61.37.81.0/24 -j DROP
) M  L( j- t. w# g) Y4 Y" C3 q& n7 H( R8 X- a  |6 a3 j- H# \
解封的话:: N7 I3 }$ h6 L) `5 O$ D
iptables -D INPUT -s IP地址 -j REJECT/ R& f1 Y8 O9 c. P1 C" T. M+ c
iptables -F 全清掉了! c/ V/ D/ _2 I5 L, [* ^7 Y5 m+ O

( n9 t" o9 n( \5 S( y! u关闭: /etc/rc.d/init.d/iptables stop0 L3 t4 Z* y! ?; v0 e
启动: /etc/rc.d/init.d/iptables start/ f4 `6 {  B2 T% R6 \# R; l$ v
重启: /etc/rc.d/init.d/iptables restart
. l; f. i* i# [" K+ h' t+ M+ }% k3 d* E7 V8 p5 V9 Y4 Z
1、重启后生效
/ T$ K5 M3 h, p$ {0 w) t 开启:chkconfig iptables on6 @1 c" s2 ?5 T* U: @
关闭:chkconfig iptables off* |! V. {9 k7 Y* F2 Q1 p+ `1 i5 x
2、即时生效,重启后失效
9 e2 j' g5 g. c* ?& A( T9 h- o: \ 开启:service iptables start
* E/ V; n9 t* G, {关闭:service iptables stop
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|第一站论坛 ( 蜀ICP备06004864号-6 )

GMT+8, 2026-7-3 21:48 , Processed in 0.089807 second(s), 23 queries .

Powered by Discuz! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表