热门标签
热门文章
- 1【智能家居】智能家居项目
- 2AR眼镜——Vuzix Blade填坑笔记_vuzix blade链接手机
- 3大模型训练资源评估_大模型算力评估
- 4nginx和keepalived 集群实现在centos8简单部署命令_centos8 keepalived nginx
- 5unity标准Shader之四大渲染模式_unity shadering mode
- 6Git学习笔记(第8章):IEAD实现GitHub操作(VSCode)_vscode 登录github账号
- 7数据结构 —— Dijkstra算法
- 8chatgpt赋能python:Python波动方程介绍:掌握物理模型与实际应用_python在建立物理模型中的应用
- 9Vue的学习之数据与方法
- 10云知声小小智慧工牌,构建销售智慧管理“大格局”_智能分析管理后台管理首页
当前位置: article > 正文
『运维备忘录』之 iptables 防火墙使用指南_iptables -d
作者:你好赵伟 | 2024-07-27 04:30:21
赞
踩
iptables -d
前言
iptables 是一个配置 Linux 内核防火墙的命令行工具,它是用来设置、维护和检查Linux内核的IP包过滤规则的。本文将介绍 iptables 的基础知识和使用示例。
注意:红帽/红旗/CentOS等 7 版本以上已改为使用 firewalld 作为防火墙替换iptables。
一、基本用法
1.1. 基本语法
$ iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作1.2. 命令参数
| 参数 | 描述 |
| -P | 设置默认策略: iptables -P INPUT (DROP) |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I | num 在规则链的头部加入新规则 |
| -D | num 删除某一条规则 |
| -s | 匹配来源地址 IP/MASK,加叹号"!"表示除这个 IP 外 |
| -d | 匹配目标地址 |
| -i | 网卡名称 匹配从这块网卡流入的数据 |
| -o | 网卡名称 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如 tcp,udp,icmp |
| --dport num | 匹配目标端口号 |
| --sport num | 匹配来源端口号 |
1.3. 服务管理
- $ systemctl status iptables # 查看服务状态
- $ systemctl enable iptables # 启用服务
- $ systemctl disable iptables # 禁用服务
- $ systemctl start iptables # 启动服务
- $ systemctl restart iptables # 重启服务
- $ systemctl stop iptables # 关闭服务
1.4. 规则配置
- # 默认情况下,所有链都配置为接受规则,因此在强化过程中,建议从拒绝所有配置开始,然后只打开需要的端口:
- $ iptables --policy INPUT DROP
- $ iptables --policy OUTPUT DROP
- $ iptables --policy FORWARD DROP
-
- # 按链条和编号删除规则
- $ iptables -D INPUT 10
-
- # 按规范删除规则
- $ iptables -D INPUT -m conntrack --ctstate INVALID -j DROP
-
- #刷新所有规则,删除所有链,并接受所有
- $ iptables -P INPUT ACCEPT
- $ iptables -P FORWARD ACCEPT
- $ iptables -P OUTPUT ACCEPT
- $ iptables -t nat -F
- $ iptables -t mangle -F
- $ iptables -F
- $ iptables -X
-
- # 冲洗所有链
- $ iptables -F
-
- # 刷新单链
- $ iptables -F INPUT
-
- # 插入规则
- $ iptables -I INPUT 2 -s 202.54.1.2 -j DROP
-
- # 详细打印出所有活动的 iptables 规则
- $ iptables -n -L -v
-
- # 具有规则规范的相同数据:
- $ iptables -S INPUT
-
- # 包含数据包计数的规则列表
- $ iptables -L INPUT -v
-
- # 在基于 Debian 的系统上
- $ netfilter-persistent save
-
- # 在基于 RedHat 的系统上
- $ service iptables save
二、使用示例
2.1. 清空当前的所有规则和计数
- $ iptables -F # 清空所有的防火墙规则
- $ iptables -X # 删除用户自定义的空链
- $ iptables -Z # 清空计数
2.2. 配置允许 ssh 端口连接
$ iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT这里,22 为你的 ssh 端口, -s 192.168.1.0/24 表示允许这个网段的机器来连接,其它网段的 ip 地址是登陆不了你的机器的。-j ACCEPT 表示接受这样的请求。
2.3. 允许本地回环地址可以正常使用
- $ iptables -A INPUT -i lo -j ACCEPT
- # 本地圆环地址就是那个127.0.0.1
- # 是本机上使用的,它进与出都设置为允许
- $ iptables -A OUTPUT -o lo -j ACCEPT
2.4. 设置默认的规则
- # 配置默认的不让进
- $ iptables -P INPUT DROP
- # 默认的不允许转发
- $ iptables -P FORWARD DROP
- # 默认的可以出去
- $ iptables -P OUTPUT ACCEPT
2.5. 配置白名单
- # 允许机房内网机器可以访问
- $ iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT
- # 允许机房内网机器可以访问
- $ iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT
- # 允许 183.121.3.7 访问本机的3380端口
- $ iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT
2.6. 开启相应的服务端口
- # 开启 80 端口,因为web对外都是这个端口
- $ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- # 允许被 ping
- $ iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
- # 已经建立的连接得让它进来
- $ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2.7. 保存规则到配置文件中
- $ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
- $ iptables-save > /etc/sysconfig/iptables
- $ cat /etc/sysconfig/iptables
2.8. 清除已有规则
- # 清空指定链 INPUT 上面的所有规则
- $ iptables -F INPUT
- # 删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则
- $ iptables -X INPUT
- # 如果没有指定链名,则会删除该表中所有非内置的链,把指定链,或者表中的所有链上的所有计数器清零
- $ iptables -Z INPUT
2.9. 删除已添加的规则
- # 添加一条规则
- $ iptables -A INPUT -s 192.168.1.5 -j DROP
-
- # 将所有 iptables 以序号标记显示,执行:
- $ iptables -L -n --line-numbers
-
- # 比如要删除 INPUT 里序号为 8 的规则,执行:
- $ iptables -D INPUT 8
2.10. 列出已设置的规则
- # 列出 nat 上面的所有规则
- $ iptables -L -t nat
- # -t 参数指定,必须是 raw, nat,filter,mangle 中的一个,规则带编号
- $ iptables -L -t nat --line-numbers
- $ iptables -L INPUT
- # 查看,这个列表看起来更详细
- $ iptables -L -nv
2.11. 开放指定的端口
- # 允许本地回环接口(即运行本机访问本机)
- $ iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
- # 允许已建立的或相关连的通行
- $ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- # 允许所有本机向外的访问
- $ iptables -A OUTPUT -j ACCEPT
- # 允许访问22端口
- $ iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- # 允许访问80端口
- $ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- # 允许ftp服务的21端口
- $ iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- # 允许FTP服务的20端口
- $ iptables -A INPUT -p tcp --dport 20 -j ACCEPT
- # 禁止其他未允许的规则访问
- $ iptables -A INPUT -j reject
- # 禁止其他未允许的规则访问
- $ iptables -A FORWARD -j REJECT
2.12. 屏蔽 IP
- # 屏蔽恶意主机(比如,192.168.0.8
- $ iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP
- # 屏蔽单个IP的命令
- $ iptables -I INPUT -s 123.45.6.7 -j DROP
- # 封整个段即从123.0.0.1到123.255.255.254的命令
- $ iptables -I INPUT -s 123.0.0.0/8 -j DROP
- # 封IP段即从123.45.0.1到123.45.255.254的命令
- $ iptables -I INPUT -s 124.45.0.0/16 -j DROP
- # 封IP段即从123.45.6.1到123.45.6.254的命令是
- $ iptables -I INPUT -s 123.45.6.0/24 -j DROP
2.13. 查看已添加的规则
$ iptables -L -n -v2.14. 启动网络转发规则
- # 本机的 2222 端口映射到内网 虚拟机的 22 端口
- $ iptables -t nat -A PREROUTING -d 212.11.11.11 -p tcp --dport 2222 -j DNAT --to-dest 192.168.10.11:22
2.15. 阻止 Windows 蠕虫的攻击
$ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"2.16. 防止 SYN 洪水攻击
$ iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT2.17. 阻止带有虚假 TCP 标志的数据包
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
- $ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
2.18. 其他
- # 允许环回连接
- $ iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT
-
- # 允许已建立和相关的传入连接
- $ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-
- # 允许已建立的传出连接
- $ iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 丢弃无效数据包
- $ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
-
- # 阻止和 IP 地址并拒绝
- $ iptables -A INPUT -s 192.168.1.10 -j REJECT
-
- # 阻止 IP 地址
- $ iptables -A INPUT -s 192.168.1.10 -j DROP
-
- # 允许所有传入的 SSH
- $ iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许来自特定 IP 地址或子网的传入 SSH
- $ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许传入 HTTP
- $ iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许传入 HTTPS
- $ iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许传入 HTTP 和 HTTPS
- $ iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许来自特定 IP 地址或子网的 MySQL
- $ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 允许所有传入的 SMTP
- $ iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
- $ iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
- # 记录和丢弃数据包(默认情况下,所有内容都记录到 /var/log/messages 文件中)
- $ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
- $ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-
- # 丢弃或接受来自 Mac 地址的流量
- $ iptables -A INPUT -m mac --mac-source 00:1F:EA:51:02:04 -j DROP
- $ iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
-
- # 阻止或允许 ICMP Ping 请求
- $ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
- $ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
-
- # 使用 multiport 指定多个端口
- $ iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports ssh,smtp,http,https -j ACCEPT
-
- # 使用 limit 和 iplimit* 限制连接数
- $ iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m limit --limit 20/hour --limit-burst 5 -j ACCEPT
- $ iptables -A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP
-
- # 匹配数据包数据负载中的 “string*”
- $ iptables -A FORWARD -m string --string '.com' -j DROP
- $ iptables -A FORWARD -m string --string '.exe' -j DROP
-
- # 防止端口扫描
- $ iptables -N port-scanningiptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURNiptables -A port-scanning -j DROP
-
- # SSH 暴力破解保护
- $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --setiptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
-
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/888658
推荐阅读
相关标签
