,,,,,,,IPTABLES规则,先拒绝所有链接,在注意开放对外服务
,,,IPTABLES可用操作
, (1) - l:先是所选链中所有策略,IPTABLES - t过滤器- l
,(2)——:(链名称):在所选链尾部加上一条新的策略,
,例:IPTABLES - t过滤器——输入- s 192.168.3.1 - j下降
,(3)- d:(链名称)(策略内容或序号)从所选链中删除策略
,例:iptables - t滤波器输入3 - d
,(4)- f(链名称)清空所选链策略,
,iptables - f输入
,,,
,,,IPTABLES可用数据描述
, (1) - p (tcp/udp/icmp)匹配指定的协议,例:
,阻止源地址为192.168.3.1到本机的所有UDP通信
,iptables - t过滤器——输入- p udp - s 192.168.3.1 - j下降
,(2)- d (ip地址)阻止这个地址的通信
,阻止ip地址为192.168.3.1/192.168.3.0这个网段的通信
,iptables - t过滤器——输出- d 192.168.3.1/, 192.168.3.0/24 - j下降
,(3)-(网络接口)以数据包进入本机接口来匹配数据包(进入本地接口- i)
,例:阻止从eth0进入的源地址为192.168.3.1的所有通信
,iptables - t过滤器——输入我eth0 - s 192.168.3.1 - j下降
, (4) - o(网络接口)以数据包离开本地所使用的网络接口来匹配数据包,同我(离开本地接口- o)
,例:阻止目标IP地址为192.168.3.0从eth0发出的所用通信
,iptables - t过滤器——输出- o eth0 - s 192.168.3.0/24 - j下降
,(5)——运动(端口)使用数据包源端口匹配数据包,该参数必须同- p配合使用
,例:阻源端口为1000的所有tcp通信
,iptables - t过滤器——输入- p tcp -运动1000 - j
,(6)——dport(端口)基于数据包目的端口匹配
,例:阻止目标端口为1000的所tcp通信
,iptables - t过滤器——输出- p tcp——dport 1000 - j下降
,,,,,,,常见服务策略配置
,例:DNS:
,iptables -输入- p udp - s 192.168.3.0/24——dport 53 - j接受
,iptables -输入- p udp - s 192.168.3.0/24——运动53 - j接受
,iptables -输出- p udp - d 192.168.3.0/24——dport 53 - j接受
,iptables -输出- p udp - d 192.168.3.0/24——运动53 - j接受
,IPTABLES规则保存在配置文件,/etc/sysconfig/IPTABLES
,,以下命令可以将当前IPTABLES配置保存到配置文件中
,,服务iptables保存
