Linux防火墻之iptables參數
iptables命令參數
1、清理參數
[[email protected]~]# /etc/init.d/iptables start 啟動iptables
[[email protected]~]# /etc/init.d/iptables status 查看iptables狀態
[[email protected]~]# iptables -V 查看版本信息
[[email protected]~]# iptables -h 查看幫助信息
[[email protected]~]# iptables -L -n 查看默認filter表的規則
[[email protected]~]# iptables -F
[[email protected]~]# iptables -X 刪除用戶自定義的鏈
[[email protected]~]# iptables -Z 把鏈的計數器清零
2 、禁止規則
語法:
iptables -t[table] -[AD] chain rule-specification [options]
註:基本的處理行為:ACCEPT(接收)、DROP(丟棄)、REJECT(拒絕)。DROP好於REJECT。
命令行執行的規則只在內存臨時生效。
具體命令:
關掉、開啟22端口:
iptables -t filter-A INPUT -p tcp --dport 22 -j DROP
iptables -F 清楚自定義規則
禁止、開啟80端口:
iptables -t filter-A INPUT -p tcp --dport 80 -j DROP
iptables -L -n--line-numbers
Chain INPUT(policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
iptables -t filter-D INPUT 1
iptables -L -n --line-numbers
2) 【註意】
-A和-I的區別:
-A是添加規則到指定鏈的結尾
-I是添加規則到指定鏈的開頭
例如:
用-A添加如下
[[email protected]~]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP
[[email protected]~]# iptables -t filter -A INPUT -p tcp --dport 81 -j DROP
[[email protected]~]# iptables -t filter -A INPUT -p tcp --dport 82 -j DROP
[[email protected]~]# iptables -t filter -A INPUT -p tcp --dport 79 -j DROP
[[email protected]~]# iptables -L -n --line-numbers
ChainINPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:81
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:82
4 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:79
[[email protected]~]# iptables -F
用-I添加如下:
[[email protected]~]# iptables -t filter -I INPUT -p tcp --dport 80 -j DROP
[[email protected]~]# iptables -t filter -I INPUT -p tcp --dport 81 -j DROP
[[email protected]~]# iptables -t filter -I INPUT -p tcp --dport 82 -j DROP
[[email protected]~]# iptables -t filter -I INPUT -p tcp --dport 79 -j DROP
[[email protected]~]# iptables -L -n --line-numbers
ChainINPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:79
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:82
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:81
4 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
以後封IP用-I來封
iptables -t filter -A INPUT 2 -p tcp --dport 79 -j DROP表示將此條記錄插到第二條記錄上面去。INPUT後面加數字就表示插到哪裏。
3)
-i 接口
-s 源地址
iptables -t filter-A INPUT -i eth0 -s 10.0.0.1/24 -j DROP
或者iptables -t filter -A INPUT -i eth0 -s10.0.0.1 -j DROP
iptables -F
iptables -t filter-A INPUT -i eth0 ! -s 192.168.58.131 -j DROP
禁止除192.168.58.131以外的所有IP。
iptables -F
4) 禁止ping功能:
iptables -A INPUT-p icmp --icmp-type 8 -s 0/0 -j DROP
本文出自 “doublelinux” 博客,謝絕轉載!
Linux防火墻之iptables參數