iptables速查

news/2024/11/25 2:56:45/

iptables规则链

  • PREROUTE
  • INPUT
  • FORWARD
  • OUTPUT
  • POSTROUTING

防火墙策略

  1. 默认关闭,只有指定数据放行
  2. 默认开启,只有指定的开启

动作

  1. DEOP 丢弃
  2. REJECT 明示拒绝
  3. ACCEPT 接受
  4. custom_chain 转向一个自定义的链
  5. DNAT
  6. SNAT
  7. MASQUERADE 源地址伪装
  8. REDIRECT 端口重定向
  9. MARK 打防火墙的标志
  10. RETURN 返回在自定义链执行完毕后返回 来返回原规则链

iptables默认三个表

  1. filter
  2. nat
  3. manage

iptables基本命令

  • 这些配置就像用命令配置IP一样,重起就会失去作用,所以我们需要去保存这个配置 /etc/rc.d/init.d/iptables save
  • 这样就可以写到/etc/sysconfig/iptables文件里了.
  • 写入后记得把防火墙重起一下,才能起作用.service iptables restart
    iptables -L -n 查询当前iptables的规则
    iptables -F 清除预设表fliter中的所有规则链的规则
    iptabl e -X (OUTPUT) 可以指定链清理 清除预设表filter中使用者自定链中的规则

设置预设规则

iptables -P INPUT DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD DROP
  • 上面命令的意思就是 输入的和转发的 如果不在我们定义的规则里面就丢弃掉(INPUT FORWARD) 而对于OUTPUT我们没有过多的限制 如果输出的不在我们的规则里面即通过

添加规则

  • 详细限制某个ip访问 iptables -t filter -A OUTPUT -s 192.168.31.210 -d 192.168.31.211 -p tcp --dport 22 -j ACCEPT

参数效果 -t指定表-s指定输入源-d指定接收-p tcp指定协议–dport指定端口-j指定规则

  • 开启ping
    iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
    iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
  • 关闭一下不必要端口
    iptables -A OUTPUT -p tcp --sport 31337 -j DROP

这个是可以任何ip访问 只是开放了端口

开启ftp服务

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  • 如果一个ip访问web服务并发20以上就拒绝该连接
    iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT

ipset

  • ipset安装
    yum安装: yum install ipset
  • 创建一个ipset
    ipset create xxx hash:net (也可以是hash:ip ,这指的是单个ip,xxx是ipset名称)
    ipset默认可以存储65536个元素,使用maxelem指定数量

ipset create blacklist hash:net maxelem 1000000 #黑名单
ipset create whitelist hash:net maxelem 1000000 #白名单

  • 查看已创建的ipset
    ipset list
  • 加入一个名单ip
    ipset add blacklist 10.60.10.xx
  • 去除名单ip
    ipset del blacklist 10.60.10.xx
  • 创建防火墙规则,与此同时,allset这个IP集里的ip都无法访问80端口(如:CC攻击可用)
iptables -I INPUT -m set –match-set blacklist src -p tcp -j DROP
iptables -I INPUT -m set –match-set whitelist src -p tcp -j DROP
service iptables save
iptables -I INPUT -m set –match-set setname src -p tcp –destination-port 80 -j DROP
  • 将ipset规则保存到文件
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt
  • 删除ipset
ipset destroy blacklist
ipset destroy whitelist
  • 导入ipset规则
ipset restore -f blacklist.txt
ipset restore -f whitelist.txt

ipset的一个优势是集合可以动态的修改,即使ipsetiptables规则目前已经启动,新加的入ipsetip也生效

参考来源:憧憬在 aoppp.com发布


http://www.ppmy.cn/news/383998.html

相关文章

高德地图GPS不准,怎么解决

高德地图GPS不准,怎么解决

最近碰到了GPS定位准确性的问题,大部分客户反馈是比较准的,但是部分客户反馈确实不准。 以下是从高德官网找到的资料。 1、SDK定位策略 定位SDK融合基站WiFi GPS定位,输出了三种定位模式:高精度模式,低功耗模式&…
阅读更多...
14. 100ASK-V853-PRO开发板 ADB测试指南

14. 100ASK-V853-PRO开发板 ADB测试指南

100ASK-V853-PRO开发板 ADB测试指南 硬件要求: 100ASK-V853-PRO开发板 软件要求: 固件下载地址:链接:百度网盘 提取码:sp6a 固件位于资料光盘中的10_测试镜像/4.测试ADB/v853_linux_100ask_uart0.img 1.硬件连接 …
阅读更多...
53.最大子数组和

53.最大子数组和

贪心算法 时间复杂度:代码中只有一个循环,循环次数为数组的长度,因此时间复杂度为 O(n),其中 n 是数组的长度。空间复杂度:代码中只使用了常数级别的额外空间,因此空间复杂度为 O(1)。 这段代码使用贪心算…
阅读更多...
深度学习5 -- 循环神经网络(代码实现篇+付详细流程文件)

深度学习5 -- 循环神经网络(代码实现篇+付详细流程文件)

引言 本文是使用pytorch对循环神经网络RNN(Recurrent Neural Network)的代码实现,作为之前介绍RNN原理的一个代码补充。 RNN原理介绍 本文代码相关介绍相对较为详细,也为自己的一个学习过程,对RNN的理解还是比较浅显,有错误的地…
阅读更多...
总结的太到位:python 多线程系列详解

总结的太到位:python 多线程系列详解

前言: 上vip课的时候每次讲到框架的执行,就会有好学的同学问用多线程怎么执行,然后我每次都会说在测开课程会详细讲解,这并不是套路,因为如果你不理解多线程,不清楚什么时候该用什么时候不该用,…
阅读更多...
List容器(Java)

List容器(Java)

文章目录 1.容器介绍1.1 容器接口结构1.2 简单解析 2. List容器创建3. 访问操作(get, iterator, for)4. 修改操作(add, remove, set)5. 容量操作(clear, contains, isEmpty, size)6. 其他操作(toArray, )7. 泛型操作 1.容器介绍 1.1 容器接口结构 a. Java存储结构划分   Java…
阅读更多...
联想杀毒显示 你的计算机有风险,都在说联想电脑管家,那我们也来看看这联想杀毒是怎么一回事-电脑管家怎么样...

联想杀毒显示 你的计算机有风险,都在说联想电脑管家,那我们也来看看这联想杀毒是怎么一回事-电脑管家怎么样...

说到杀毒软件,大家第一反应应该是两大阵营,一大阵营是国外那些牛逼的kaba、nod32、avest等等,另一大阵营肯定是国内以360为代表的免费杀毒阵营,提到国内的这些,大家肯定也都是从国内业界老大360到不入流的管家&#xf…
阅读更多...
计算机病毒有存在的方式是,计算机病毒防治体系存在的问题有什么

计算机病毒有存在的方式是,计算机病毒防治体系存在的问题有什么

主动防御,是未来发展的趋势。主要有两个方法,一是静态防御,就是我们常说的启发式,杰出代表杀软有:NOD32(48次通过VB100),德国小红伞(单引擎扫描07年第一);第二方式是动态防御(行为分析技术)&…
阅读更多...
最新文章

Copyright @ 2022~2023