快速业务通道

iptables 示例

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-03

iptables 示例

例2.1 在filter表的INPUT链的末尾添加一条防火墙规则.
[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT

例2.2 在filter表的INPUT链中插入一条防火墙规则(此处省略了“-t filter”选项,按默认处理filter表).
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT

例2.3 在filter表的INPUT链中插入一条防火墙规则(作为链中的第二条规则).
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT

例2.4 查看filter表INPUT链中的所有规则,同时显示各条规则的顺序号.
[root@localhost ~]# iptables -L INPUT --line-numbers

例2.5 查看filter表各链中所有规则的详细信息,同时以数字形式显示地址和端口信息.
[root@localhost ~]# iptables -vnL

例2.6 删除filter表INPUT链中的第2条规则.
[root@localhost ~]# iptables -D INPUT 2

例2.7 清空filter表,nat表,mangle表各链中的所有规则.
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]# iptables -t mangle -F

例2.8 将filter表中FORWARD规则链的默认策略设为DROP.
[root@localhost ~]# iptables -t filter -P FORWARD DROP

例2.9 将filter表中OUTPUT规则链的默认策略设为ACCEPT.
[root@localhost ~]# iptables -P OUTPUT ACCEPT

例2.10 查看iptables命令中关于icmp协议的帮助信息(在输出内容的部分列出).
[root@localhost ~]# iptables -p icmp -h

例2.11 在raw表中新增一条自定义的规则链,链名为TCP_PACKETS.
[root@localhost ~]# iptables -t raw -N TCP_PACKETS
[root@localhost ~]# iptables -t raw -L //查看raw表中的所有规则链中相关信息

例2.12 清空raw表中用户自定义的所有规则链.
[root@localhost ~]# iptables -t raw -x

Empire CMS,phome.net

例2.13 拒绝进入防火墙的所有icmp协议数据包.
[root@localhost ~]# iptables -I INPUT -p icmp -j REJECT

例2.14 允许防火墙转发除icmp协议以外的所有数据包(使用惊叹号“!”可以将条件取反).
[root@localhost ~]# iptables -A FORWARD -p ! icmp -j ACCEPT
[root@localhost ~]# iptables -L FORWARD

例2.15 拒绝转发来自192.168.1.11主机的数据,允许转发来自192.168.0.0/24网段的数据.
[root@localhost ~]# iptables -A FORWARD -s 192.168.1.11 -j REJECT
[root@localhost ~]# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

例2.16 丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包.
[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

例2.17 管理员在网关服务器上检测到来自某个IP网段(如10.20.30.0/24)的频繁扫描,希望设置iptables规则封堵改IP地址段,两小时后分解.
[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP //设置封堵策略
[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[root@localhost ~]# at now 2 hours
at>iptables -D INPUT 1
at>iptables -D FORWARD 1
at><EOT> //此处按Ctrl D组合键

例2.18 仅允许系统管理员从202.13.0.0/16网段使用SSH方式远程登录防火墙主机.
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j DROP

例2.19 允许本机开放从TCP端口20-1024提

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号