iptables工作常用操作

阿新 • • 發佈：2019-03-02

3.1 forward 不同 target 自己的 quit sysconfig eas systemctl

正確的設置iptables命令匯總

iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo  -j ACCEPT
iptables -A INPUT  -j DROP

顯示如下，其中lo口的再source列顯示成為了0.0.0.0/0 剛開始以為放行了所有IP呢，實際測試是lo口。正常工作

[root@cenos ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
[root@cenos ~]#

前面添加允許的規則，最後追加一條規則拒絕其它所有的，無論什麽協議的

鏈規則默認是ACCEPT，不推薦改成DROP，後面最後會演示隱患

關於上面的一些問題匯總

剛開始把lo口放行的改成了如下

iptables -A INPUT -s 127.0.0.1/8  -j ACCEPT

這樣的話自己去連自己只能通過127.0.0.1去連接了。經過自己的IPV4連接出現不通的情況。如下測試

[root@linux-node1 ~]# telnet 192.168.56.11 9292
Trying 192.168.56.11...
^C
[root@linux-node1 ~]# telnet 127.0.0.1 9292
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is ‘^]‘.
^]
telnet> quit
Connection closed.
[root@linux-node1 ~]#

如果再添加一條命令,也能正常工作了。但是每次針對不同的主機都要修改源地址。覺得麻煩了

iptables -I INPUT -s 192.168.56.11/32 -j ACCEPT

測試如下

[root@linux-node1 ~]# iptables -I INPUT -s 192.168.56.11/32 -j ACCEPT
[root@linux-node1 ~]# telnet 192.168.56.11 9292
Trying 192.168.56.11...
Connected to 192.168.56.11.
Escape character is ‘^]‘.
^C^]
telnet> quit
Connection closed.
[root@linux-node1 ~]#

放行自己出去的包回來命令解釋

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

測試正常添加，ping百度可以返回

[root@linux-node1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@linux-node1 ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
[root@linux-node1 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
[root@linux-node1 ~]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@linux-node1 ~]# iptables -A INPUT  -j DROP
[root@linux-node1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
[root@linux-node1 ~]# 
##ping 百度測試下
[root@linux-node1 ~]# ping baidu.com -c 3
PING baidu.com (123.125.115.110) 56(84) bytes of data.
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=128 time=37.9 ms
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=2 ttl=128 time=35.9 ms
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=3 ttl=128 time=35.8 ms

--- baidu.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 35.852/36.593/37.967/0.972 ms
[root@linux-node1 ~]#

測試錯誤添加方式

註意這個命令要在最終的drop之前

[root@linux-node1 ~]# iptables -F
[root@linux-node1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@linux-node1 ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
[root@linux-node1 ~]# iptables -A INPUT  -j DROP
[root@linux-node1 ~]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@linux-node1 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
[root@linux-node1 ~]# ping baidu.com -c 3
ping: baidu.com: Name or service not known
[root@linux-node1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
[root@linux-node1 ~]# 


所以
註意這個命令要在最終的drop之前

禁止別人ping自己，ACCEPT就允許了

禁止ping
[root@data-1-1 ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
[root@data-1-1 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@data-1-1 ~]# 

測試別的機器無法ping通它
[root@linux-node1 ~]# ping 10.0.2.11 -c 3
PING 10.0.2.11 (10.0.2.11) 56(84) bytes of data.

--- 10.0.2.11 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2000ms

[root@linux-node1 ~]#

註意iptables -I 和iptables -A是有區別的

-A和-I參數分別為添加到規則末尾和規則最前面

看到有些人使用-P改了默認的鏈的規則。我極其不推薦

比如下面方式、最後把鏈默認的改成了DROP方式

iptables -P INPUT ACCEPT  
iptables -F  
iptables -X  
iptables -Z  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT  
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  
iptables -P INPUT DROP  
iptables -P OUTPUT ACCEPT  
iptables -P FORWARD DROP

我來演示下隱患

後期如果調整iptables時不小心執行了iptables -F時機器就無法連接了

技術分享圖片

xshell連接不上機器了
就是因為防火墻的INPUT 鏈默認被改成了DROP的規則
我執行iptables -F 清除了所有規則，也就無法連接22端口了

通過控制臺登錄查看下

技術分享圖片

修復問題

技術分享圖片

[root@linux-node1 ~]# iptables -P FORWARD ACCEPT
[root@linux-node1 ~]# iptables -P INPUT ACCEPT

技術分享圖片

補充部分2

centos最小化安裝默認沒iptables。當執行下面命令如下提示

[root@linux-node1 ~]# service iptables save  
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.
[root@linux-node1 ~]# systemctl restart iptables.service
Failed to restart iptables.service: Unit not found.

需要安裝iptables-services

yum install iptables-services

iptables-services 和 iptables 是不一樣的

安裝了 services才有/etc/sysconfig/iptables

iptables工作常用操作

3.1 forward 不同 target 自己的 quit sysconfig eas systemctl 正確的設置iptables命令匯總 iptables -P INPUT ACCEPT iptables -F iptables -X ipta

iptables 常用操作

防火墻 iptables 一、iptables默認配置 Centos 6.5 中iptables的默認設置： ~~~~~~~~~~~~~~~~~~~~~ :INPUT ACCEPT [0:0]# 該規則表示INPUT表默認策略是ACCEPT:FORWARD ACCEPT [0:0]# 該

GitFlow工作流常用操作流程

localhost devel 例如 diff 行合並 hot per 進行 ash 1. 主要分支介紹 1.1 master分支主分支，產品的功能全部實現後，最終在master分支對外發布。 1.2 develop分支開發分支，基於master分支克隆，產品的編碼工作

iptables 常用操作命令

2、檢視IPtables防火牆策略你可以使用如下命令來檢視 IPtables 防火牆策略： iptables -L -n -v iptables -t nat -L -v –n 3、遮蔽某個IP地址如果你釋出有某個 IP 向伺服器匯入攻擊或非正常流量，可以使用如下規則遮

C# 系統應用之窗體最小化至工作列及常用操作

一.介面操作 1.建立"Windows窗體應用程式"專案,從"工具箱"中新增NotifyIcon(執行時期間在Windows工作列右側的通知區域顯示圖示).滑鼠右擊notifyIcon1屬性,為控制元件屬性Icon新增圖示,Text屬性為"CSDN". 2

關於activity工作流常用操作（個人總結）

1、部署流程定義 repositoryService.createDeployment().addClasspathResource(path+filename).deploy(); 2、刪除流程定義 ProcessDefinitionQuery quer

lodash模組工作中常用操作

1. _.map(collections,function) function square(n) { return n * n; } _.map([4, 8], square); // => [16, 64] 2._.pick從某個物件

byte 常用操作

exceptio cat 移動 ror 位置 all const 長度 ear /** * 低位在前，高位在後 * * @param data * @return */ private byte[] intToBytes(int value) {

Rancher常用操作及名詞概念解析

開發隔離用戶登錄項目組做什麽前言：關於Rancher安裝請參考Rancher-Server部署，此文操作過程是基於以上部署環境進行演示。關於Rancher是做什麽，能完成哪些功能，有哪些優據點請自行了解。本文主要介紹以下幾點什麽是環境如何添加環境什麽是應用棧如何添

Rancher常用操作及名詞解析

用戶登錄項目組做什麽開發隔離前言：關於Rancher安裝請參考Rancher-Server部署，此文操作過程是基於以上部署環境進行演示。關於Rancher是做什麽，能完成哪些功能，有哪些優據點請自行了解。本文主要介紹以下幾點什麽是環境如何添加環境什麽是應用棧如何添

VPS常用操作（自用）

stat art ado ssserver exe 常用 gin lsp sse 1.screen 用來開啟進程，關閉ssh或命令行後扔可以繼續運行 screen screen -list screen -r xx screen -S PID -X quit 2.

redis的五大數據類型以及與 key 關鍵字相關的常用操作命令

redis數據類型 key關鍵字相關的指令 redis學習 1、redis的五大數據類型：先來看看redis官方網上文檔的介紹：這裏簡單地說，就是redis不是一個普通的 key-value 存儲，而是一個數據結構服務器，支持各種不同類型的值，這

SQL Server 常用操作XML

man 刪除節點操作 ble rep 插入 mman varchar lis --修改FunctionNo節點值，@OperateFunctionNo為參數 set @DataXml.modify(‘replace value of (/CrudData/Functio

SAS編程基礎 - 菜鳥入門常用操作

強制 http ctrl+s 技術分享 shift 菜鳥 ctr 編輯菜鳥入門 1. SAS9.4添加和取消註釋的快捷鍵？ Ctrl+/：添加註釋 Ctrl+Shift+/：取消註釋 2. 如何強制終止程序運行？

DB2 建表，添加字段，刪除字段，修改字段等常用操作

varchar 查看 ble col har 同時 int 添加建數據庫轉載：http://blog.sina.com.cn/s/blog_67aaf4440100v01p.html，稍作修改。 --創建數據庫 create database Etp; --連接數據庫

Python學習雜記_5_列表常用操作

列表查看關鍵字 zha python學習操作開始 def 刪除列列表操作列表時用方括號括起來的一組元素值，是可變變量，可通過下表取值，也可以通過下表來修改值，列表中的元素是有序的，可以是不同的基本數據類型，如： names=[1, 2, 3, “abc”, “d

linux常用操作

perm permanent oot fire 失效 linu linux smbd -i 常用操作 1，防火墻 firewall-cmd --permanent --add-port=5432/tcp firewall-cmd --permanent --add-port

QSerialPort的線程常用操作(包含心跳，讀寫延時方法等)

exp tab else rect 信號 ttl tag fine blog 1 #ifndef DATACOMMSERIAL_H 2 #define DATACOMMSERIAL_H 3 4 #include <QThread> 5 #inclu

【Oracle】Oracle中的常用操作

轉換成 sql查詢語句 sub 備份關系 %d des 統計分析 put 一、ORACLE的啟動和關閉 1、在單機環境下要想啟動或關閉ORACLE系統必須首先切換到ORACLE用戶，如下 su - oracle a、啟動ORACLE系統 oracle>svrmgr

內置數據結構：列表及常用操作

xtend 也會 count insert 返回所在 .so 數據 start 列表是一個序列：用於順序的存儲數據，通常在定義的時候，使用中括號，在轉化可叠代對象為列表時用list 函數 1，訪問列表元素： List[0] 通過下標訪問

iptables工作常用操作

相關推薦