赞
踩
先安装iptables-services: yum install iptables-services
- iptables - nL : 以数字形式显示端口号-显示默认表中的filler表中的规则
- iptables -I INPUT -j DROP : 丢弃所有入站流量,包括SSH!!,远程慎用
iptables -t nat / filler 查看某协议规则表(不写默认filler)
在防火墙使用过程中,一般先阻断所有流量,再打开白名单:
iptables -I INPUT -j DROP
由于防火墙拒绝了INPUT的所有流量,xshell被断开了,于是返回虚拟机:
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
XShell已经重新连接,输入iptables -nL:
已经有22号端口准入,此时的系统只允许22号端口进入,其余的全部丢弃
毫无疑问,此前搭建的Xampp在客户端已经无法访问
iptables -I OUTPUT -j DROP 所有出站流量全部丢弃,包括SSH响应
淦,我的XShell又没有反应了
此时就要在虚拟机上配置出站规则了,注意此时相对于客户端(XShell),出站的那一方(VMware)就是源端口了,此时的命令就变成:
iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT (是sport,还有两个杠杠!!)
iptables -L OUTPUT --line-numbers
iptables -D OUTPUT 5
iptables -I INPUT/OUTPUT -p 协议 -j REJECT
在真实机上ping显示无法连接到端口,而drop命令显示连接超时
service iptables save
文档保存在:cat /etc/sysconfig/iptables
未保存的命令在重启服务后会失效!!
iptables -F
- 防火墙一般用白名单,添加允许的规则
- 出入站一旦全部Drop,所有流量无法进,出,断网状态
- service iptables save :service不是services,奶奶滴还以为机子病了
- drop不会给拒绝响应,reject有拒绝响应
(连自己都访问不了)
- drop和reject ,一般优先使用drop
- dport未开放80,sport开放了80 可以杜绝服务器向外的流量(反弹shell)
- -A是追加,在那个规则列表后追加一个条目
- -I是把最新的那个规则置顶(优先级调到最高)
- 命令(-A和-I的区别)
- 可以结合其他命令,实现定时开关网络的作用
- iptables -I INPUT -j DROP
- iptables -I OUTPUT -j DROP
- yum install iptables-services 安装iptables-services
- iptables -I INPUT -j DROP 丢弃所有入站流量,包括SSH!!,远程慎用
- iptables -nL 用端口号的形式查看表
- iptables -I INPUT/OUTPUT -p 协议 -dport/sport 端口号 -j ACCEPT
- iptables -L OUTPUT --line-numbers 列出防火墙行号
- iptables -D OUTPUT 5 删除该规则的对应的行号
-
- service iptables save 保存命令
- iptables -F 清空
tips:感谢蜗牛!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。