在本文中列出了一些實用的iptables規則,可以參考。
1、清空資料報流量、清空鏈、清空規則
使用下面幾個命令可以清空iptables表:
# 使用-t選項選擇哪個表,表有filter, nat , mangle三個表iptables -t filter -f
iptables -t filter -x
iptables -t filter -z
-f
清空所有鏈的規則,-x
刪除自定義的鏈,-z
清空資料報流量。
2、設定預設策略
預設鏈策略是accept。對於所有input,forward和output鏈,將其更改為drop,如下所示:
iptables -p input drop將input和output鏈的預設策略都設定為drop時,對每個防火牆規則要求,都應定義兩個規則,乙個用於input,乙個用於output。iptables -p output drop
iptables -p forwarding drop
如果信任內部使用者,則可以省略上面的output。即預設情況下不丟棄所有output資料報。在這種情況下,對於擁有的每個防火牆規則要求,只需定義乙個規則即可。即只為input定義規則,因為所有資料報的傳出都是accept。
3、阻止指定的ip位址進入
block_this_ip="x.x.x.x" iptables -a input -s "$block_this_ip" -j drop定義乙個變數,值寫入要阻止的ip位址。上面第一條規則的意思是從某個ip進入的流量拒絕掉。第二條規則是阻止某個ip位址從eth0進入的流量。第三條規則指的是拒絕某個ip位址從eth0進入訪問tcp協議的流量。或者iptables -a input -i ens160 -s "$block_this_ip" -j drop
或者 iptables -a input -i ens160 -p tcp -s "$block_this_ip" -j drop
4、允許外部使用者ssh登入本機
以下規則允許ens160介面上的所有傳入的ssh連線。
iptables -a input -i ens160 -p tcp --dport 22 -m state --state new,established -j acceptiptables -a output -o ens160 -p tcp --sport 22 -m state --state established -j accept
iptables -a input -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state new,established -j accept5、允許本機使用ssh登入遠端主機以下規則允許傳出ssh連線。當從內部ssh連線到外部伺服器時可以使用:iptables -a output -o ens160 -p tcp --sport 22 -m state --state established -j accept
iptables -a output -o ens160 -p tcp --dport 22 -m state --state new,established -j accept6、使用multiport模組,允許外部訪問本機的80,443下面使用iptables -a input -i ens160 -p tcp --sport 22 -m state --state established -j accept
multiport
模組,可以減少寫入規則條數。下面例項允許外部訪問本機的http,https服務。
iptables -a input -i ens160 -p tcp -m multiport --dports 80,443 -m state --state new,established -j accept7、允許本地訪問外部的http,https服務下面命令允許本機訪問外面的http,https服務:iptables -a output -o ens160 -p tcp -m multiport --sports 80,443 -m state --state established -j accept
iptables -a output -o ens160 -p tcp -m multiport --dports 80,443 -m state --state new,established -j accept8、允許外部ping本機以下規則允許外部使用者能夠ping你的伺服器:iptables -a input -i ens160 -p tcp -m multiport --sports 80,443 -m state --state established -j accept
iptables -a input -p icmp --icmp-type echo-request -j accept9、允許本機ping外部以下規則允許從內部ping到任何外部伺服器:iptables -a output -p icmp --icmp-type echo-reply -j accept
10、防ddos攻擊下面規則將幫助你預防web伺服器上的拒絕服務(dos)攻擊:
iptables -a input -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j accept總結
iptables 生產規則
bin bash etc init.d iptables stop iptables a input p tcp dport 80 j accept iptables a input p tcp dport 21 j accept iptables a input s 192.168.17.0 24...
IPTABLES 清空規則
iptables f 然後重新啟用的話 bin iptables.sh root ctc wh 1 176 iptables l chain input policy accept target prot opt source destination chain forward policy acc...
iptables 規則速查
iptables的命令規則速查,沒有為了方便 iptables a input p tcp dport 22 j ulog ulog nlgroup 2 iptables a input p tcp dport 22 j ulog ulog prefix ssh connection attempt...