中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

IPTables防火墻怎么用

發布時間:2022-02-19 10:58:17 來源:億速云 閱讀:177 作者:小新 欄目:開發技術

這篇文章主要介紹IPTables防火墻怎么用,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!

iptables是組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業防火墻解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。在日常Linux運維工作中,經常會設置iptables防火墻規則,用來加固服務安全

IPTables防火墻怎么用

1、啟動、停止和重啟IPTables

雖然 IPTables 并不是一項服務,但在 Linux 中還是可以像服務一樣對其狀態進行管理。

基于SystemD的系統

systemctl start iptables
systemctl stop iptables
systemctl restart iptables

基于SysVinit的系統

/etc/init.d/iptables start
/etc/init.d/iptables stop
/etc/init.d/iptables restart

2、查看IPtables防火墻策略

你可以使用如下命令來查看 IPtables 防火墻策略:

 iptables -L -n -v

以上命令應該返回數據下圖的輸出:

IPTables防火墻怎么用

以上命令是查看默認的 FILTER 表,如果你只希望查看特定的表,可以在 -t 參數后跟上要單獨查看的表名。例如只查看 NAT 表中的規則,可以使用如下命令:

 iptables -t nat -L -v –n

3、屏蔽某個IP地址

如果你發布有某個 IP 向服務器導入攻擊或非正常流量,可以使用如下規則屏蔽其 IP 地址:

 iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

注意需要將上述的 XXX 改成要屏蔽的實際 IP 地址,其中的 -A 參數表示在 INPUT 鏈的最后追加本條規則。(IPTables 中的規則是從上到下匹配的,一旦匹配成功就不再繼續往下匹配)

如果你只想屏蔽 TCP 流量,可以使用 -p 參數的指定協議,例如:

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP

4、解封某個IP地址

要解封對 IP 地址的屏蔽,可以使用如下命令進行刪除:

 iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

其中 -D 參數表示從鏈中刪除一條或多條規則。

5、使用IPtables關閉特定端口

很多時候,我們需要阻止某個特定端口的網絡連接,可以使用 IPtables 關閉特定端口。

阻止特定的傳出連接:

 iptables -A OUTPUT -p tcp --dport xxx -j DROP

阻止特定的傳入連接:

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

6、使用Multiport控制多端口

使用 multiport 我們可以一次性在單條規則中寫入多個端口,例如:

iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

7、在規則中使用 IP 地址范圍

在 IPtables 中 IP 地址范圍是可以直接使用 CIDR 進行表示的,例如:

iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT

8、配置端口轉發

有時我們需要將 Linux 服務器的某個服務流量轉發到另一端口,此時可以使用如下命令:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525

上述命令會將所有到達 eth0 網卡 25 端口的流量重定向轉發到 2525 端口。

9、屏蔽HTTP服務Flood攻擊

有時會有用戶在某個服務,例如 HTTP 80 上發起大量連接請求,此時我們可以啟用如下規則:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT

上述命令會將連接限制到每分鐘 100 個,上限設定為 200。

10、禁止PING

對 Linux 禁 PING 可以使用如下規則屏蔽 ICMP 傳入連接:

iptables -A INPUT -p icmp -i eth0 -j DROP

11、允許訪問回環網卡

環回訪問(127.0.0.1)是比較重要的,建議大家都開放:

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

12、屏蔽指定MAC地址

使用如下規則可以屏蔽指定的 MAC 地址:

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

13、限制并發連接數

如果你不希望來自特定端口的過多并發連接,可以使用如下規則:

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

以上規則限制每客戶端不超過 3 個連接。

14、清空IPtables規則

要清空 IPtables 鏈可以使用如下命令:

iptables -F

要清空特定的表可以使用 -t 參數進行指定,例如:

iptables -t nat –F

15、保存IPtables規則

默認情況下,管理員對 IPtables 規則的操作會立即生效。但由于規則都是保存在內存當中的,所以重啟系統會造成配置丟失,要永久保存 IPtables 規則可以使用 iptables-save 命令:

iptables-save > ~/iptables.rules

保存的名稱大家可以自己改。

16、還原IPtables規則

有保存自然就對應有還原,大家可以使用 iptables-restore 命令還原已保存的規則:

iptables-restore

17、允許建立相關連接

隨著網絡流量的進出分離,要允許建立傳入相關連接,可以使用如下規則:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允許建立傳出相關連接的規則:

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

18、丟棄無效數據包

很多網絡攻擊都會嘗試用黑客自定義的非法數據包進行嘗試,我們可以使用如下命令來丟棄無效數據包:

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

19、IPtables屏蔽郵件發送規則

如果你的系統不會用于郵件發送,我們可以在規則中屏蔽 SMTP 傳出端口:

iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT

20、阻止連接到某塊網卡

如果你的系統有多塊網卡,我們可以限制 IP 范圍訪問某塊網卡:

iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP

源地址可以是 IP 或 CIDR。

以上是“IPTables防火墻怎么用”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

桑植县| 奇台县| 宣武区| 沅陵县| 榕江县| 琼结县| 江口县| 安丘市| 南汇区| 西城区| 瑞昌市| 西丰县| 屯昌县| 五大连池市| 尼勒克县| 襄城县| 盐池县| 方山县| 隆昌县| 神木县| 棋牌| 辽中县| 阳高县| 淮安市| 青冈县| 抚顺市| 阿勒泰市| 龙山县| 邵武市| 巴彦县| 桦甸市| 洛浦县| 方城县| 津南区| 高要市| 霍州市| 佛冈县| 额敏县| 宝应县| 新田县| 商洛市|