LINUX防火牆 IPTABLES練習

2021-10-19 06:56:03 字數 4787 閱讀 2363

說明:以下練習input和output預設策略均為drop

[root@centos8 ~]


#iptables -a input -s 10.0.0.1 -j accept


[root@centos8 ~]


#iptables -a output -d 10.0.0.1 -j accept


[root@centos8 ~]


#iptables -p input drop


[root@centos8 ~]


#iptables -p output drop


[root@centos8 ~]


#iptables -vnl


chain input (policy drop 7814 packets, 19m bytes)


pkts bytes target     prot opt in     out     source               destination         


151 12726 accept     all  --  *      *       10.0.0.1             0.0.0.0/0           


chain forward (policy accept 0 packets, 0 bytes)


pkts bytes target     prot opt in     out     source               destination         


chain output (policy drop 4949 packets, 228k bytes)


pkts bytes target     prot opt in     out     source               destination         


31  4857 accept     all  --  *      *       0.0.0.0/0            10.0.0.1
[root@centos7 ~]


#iptables -ainput  -m time --weekdays mon -p tcp --dport 80 -j drop


[root@centos7 ~]


#iptables -ainput  -m state --state new -m limit --limit 100/second -j accept


[root@centos7 ~]


#iptables -aoutput -p tcp --sport 80 -m state --state established,related -j accept


[root@centos7 ~]


#iptables -ioutput  -p tcp --sport 80 -m string --algo bm --from 62 --string "admin" -j drop
[root@centos7 ~]


#iptables -ainput -s 172.16.0.0/16 -p tcp --dport 21 -m time --timestart 08:30:00 --timestop 18:00:00 --weekdays 1,2,3,4,5 -m limit --limit 5/min -j accept


[root@centos7 ~]


#iptables -a output -d 172.16.0.0/16 -m state --state established,related -j accept
[root@centos7 ~]


#iptables -ainput -p tcp --dport 22 -m iprange --src-range 172.16.2.1-172.16.2.100 -m state --state  new -m limit --limit 2/min -j accept


[root@centos7 ~]


#iptables -aoutput -p tcp --sport 22 -j accept
[root@centos7 ~]


#iptables -a input -p tcp --tcp-flags all all -j drop


[root@centos7 ~]


#iptables -a input -p tcp --tcp-flags all none -j drop
[root@centos7 ~]


#iptables -a input -p icmp --icmp-type 8 -j reject


[root@centos7 ~]


#iptables -a input -p icmp --icmp-type 0 -j accept


[root@centos7 ~]


#iptables -a output -p icmp --icmp-type 8 -j accept
iptables -n clean_in

iptables -a clean_in -d 255.255.255.255 -p icmp -j drop

iptables -a clean_in -d 172.16.255.255 -p icmp -j drop

iptables -a clean_in -p tcp ! --syn -m state --state new -j drop

iptables -a clean_in -p tcp --tcp-flags all all -j drop

iptables -a clean_in -p tcp --tcp-flags all none -j drop

iptables -a clean_in -d 172.16.100.7 -j return

iptables -a input -d 172.16.100.7 -j clean_in

iptables -a input -i lo -j accept

iptables -a output -o lo -j accept

iptables -a input -i eth0 -m multiport -p tcp --dports 53,873,135,137,139,445 - j drop

iptables -a input -i eth0 -m multiport -p udp --dports 53,873,135,137,139,445 - j drop

iptables -a input -i eth0 -m multiport -p tcp --dports 1433,3389 -j drop

iptables -a input -p icmp -m limit --limit 10/second -j accept

放行telnet, ftp, web服務 23 21、80

放行samba服務 tcp 139 445 udp 137 138

放行dns服務(查詢和區域傳送) tcp/udp 53

[root@centos7 ~]


#iptables -ainput -p tcp -m multiport --dports 23,21,80 -j accept


[root@centos7 ~]


#iptables -ainput -p tcp -m multiport --dports 139,445  -j accept


[root@centos7 ~]


#iptables -ainput -p udp -m multiport --dports 139,445  -j accept


[root@centos7 ~]


#iptables -ainput -p tcp  --dports 53  -j accept


[root@centos7 ~]


#iptables -ainput -p udp  --dports 53  -j accept


[root@centos7 ~]


#iptables -aoutput -m state --state established,related  -j accept


[root@centos7 ~]


#iptables -aoutput -p tcp  --sports 53  -j accept


[root@centos7 ~]


#iptables -aoutput -p udp  --sports 53  -j accept
放行telnet, ftp, web服務

放行samba服務

放行dns服務(查詢和區域傳送)

用forward


[root@centos7 ~]


#iptables -aforward -p tcp -m multiport --dports 23,21,80 -j accept


[root@centos7 ~]


#iptables -aforward -p tcp -m multiport --dports 139,445  -j accept


[root@centos7 ~]


#iptables -aforward -p udp -m multiport --dports 139,445  -j accept


[root@centos7 ~]


#iptables -aforward -p tcp  --dports 53  -j accept


[root@centos7 ~]


#iptables -aforward -p udp  --dports 53  -j accept

iptable防火牆詳解

一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptable t filter f 清空filter表中所有規則 iptable t filter z 清空filter表中的計數器值 iptable t filter x 清除filte...

iptable防火牆詳解

一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptables t filter f 清空filter表中所有規則 iptables t filter z 清空filter表中的計數器值 iptables t filter x 清除fi...

iptable防火牆詳解

iptable防火牆詳解 一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptable t filter f 清空filter表中所有規則 iptable t filter z 清空filter表中的計數器值 iptable t fil...