日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

iptables其實(shí)是一個(gè)命令行工具，可以把它理解成一個(gè)客戶端代理，用戶通過(guò)iptables這個(gè)代理，將用戶的安全設(shè)定執(zhí)行到對(duì)應(yīng)的”安全框架”中，這個(gè)”安全框架”才是真正的防火墻，這個(gè)框架的名字叫netfilter，下面為大家講解一下iptables常用方法。

成都創(chuàng)新互聯(lián)是專業(yè)的思禮網(wǎng)站建設(shè)公司，思禮接單;提供成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行思禮網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

1、清空數(shù)據(jù)包流量、清空鏈、清空規(guī)則

使用下面幾個(gè)命令可以清空iptables表：

# 使用-t選項(xiàng)選擇哪個(gè)表，表有filter, nat , mangle三個(gè)表
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z

-F清空所有鏈的規(guī)則，-X刪除自定義的鏈，-Z清空數(shù)據(jù)包流量。

2、設(shè)置默認(rèn)策略

默認(rèn)鏈策略是ACCEPT。對(duì)于所有INPUT，F(xiàn)ORWARD和OUTPUT鏈，將其更改為DROP，如下所示：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARDING DROP

將INPUT和OUTPUT鏈的默認(rèn)策略都設(shè)置為DROP時(shí)，對(duì)每個(gè)防火墻規(guī)則要求，都應(yīng)定義兩個(gè)規(guī)則，一個(gè)用于INPUT，一個(gè)用于OUTPUT。

如果信任內(nèi)部用戶，則可以省略上面的OUTPUT。即默認(rèn)情況下不丟棄所有OUTPUT數(shù)據(jù)包。在這種情況下，對(duì)于擁有的每個(gè)防火墻規(guī)則要求，只需定義一個(gè)規(guī)則即可。即只為INPUT定義規(guī)則，因?yàn)樗袛?shù)據(jù)包的傳出都是ACCEPT。

3、阻止指定的IP地址進(jìn)入

BLOCK_THIS_IP="x.x.x.x" iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP
或者
iptables -A INPUT -i ens160 -s "$BLOCK_THIS_IP" -j DROP
或者 iptables -A INPUT -i ens160 -p tcp -s "$BLOCK_THIS_IP" -j DROP

定義一個(gè)變量，值寫(xiě)入要阻止的ip地址。上面第一條規(guī)則的意思是從某個(gè)ip進(jìn)入的流量拒絕掉。第二條規(guī)則是阻止某個(gè)ip地址從eth0進(jìn)入的流量。第三條規(guī)則指的是拒絕某個(gè)ip地址從eth0進(jìn)入訪問(wèn)tcp協(xié)議的流量。

4、允許外部用戶ssh登錄本機(jī)

以下規(guī)則允許ens160接口上的所有傳入的ssh連接。

iptables -A INPUT -i ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

下面是允許指定網(wǎng)段的ip地址連接本機(jī)的ssh服務(wù)：

iptables -A INPUT -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5、允許本機(jī)使用ssh登錄遠(yuǎn)程主機(jī)

以下規(guī)則允許傳出ssh連接。當(dāng)從內(nèi)部ssh連接到外部服務(wù)器時(shí)可以使用：

iptables -A OUTPUT -o ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6、使用multiport模塊，允許外部訪問(wèn)本機(jī)的80,443

下面使用multiport模塊，可以減少寫(xiě)入規(guī)則條數(shù)。下面實(shí)例允許外部訪問(wèn)本機(jī)的http,https服務(wù)。

iptables -A INPUT -i ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

iptables 常用規(guī)則使用實(shí)例iptables 常用規(guī)則使用實(shí)例

7、允許本地訪問(wèn)外部的http,https服務(wù)

下面命令允許本機(jī)訪問(wèn)外面的http,https服務(wù)：

iptables -A OUTPUT -o ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

iptables 常用規(guī)則使用實(shí)例iptables 常用規(guī)則使用實(shí)例

8、允許外部ping本機(jī)

以下規(guī)則允許外部用戶能夠ping你的服務(wù)器：

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables 常用規(guī)則使用實(shí)例iptables 常用規(guī)則使用實(shí)例

9、允許本機(jī)ping外部

以下規(guī)則允許從內(nèi)部ping到任何外部服務(wù)器：

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables 常用規(guī)則使用實(shí)例iptables 常用規(guī)則使用實(shí)例

10、防DDOS攻擊

下面規(guī)則將幫助你預(yù)防Web服務(wù)器上的拒絕服務(wù)（DoS）攻擊：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

• -m limit：使用limit模塊
  
• –limit 25/minute：此限制每分鐘最多25個(gè)連接。根據(jù)具體要求更改此值
  
• –limit-burst 100：該值表示只有在連接總數(shù)達(dá)到limit-burst級(jí)別后，才執(zhí)行l(wèi)imit 25/minute。
  

總結(jié)

在本文中列出了一些實(shí)用的iptables規(guī)則，可以參考。

文章名稱：詳解iptables常用方法
標(biāo)題路徑：http://www.dlmjj.cn/article/coosgej.html