iptables常用规则使用实例

iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。

1、清空数据包流量、清空链、清空规则

使用下面几个命令可以清空iptables表:

# 使用-t选项选择哪个表,表有filter, nat , mangle三个表
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z

-F清空所有链的规则,-X删除自定义的链,-Z清空数据包流量。

2、设置默认策略

默认链策略是ACCEPT。对于所有INPUT,FORWARD和OUTPUT链,将其更改为DROP,如下所示:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARDING DROP

将INPUT和OUTPUT链的默认策略都设置为DROP时,对每个防火墙规则要求,都应定义两个规则,一个用于INPUT,一个用于OUTPUT。

如果信任内部用户,则可以省略上面的OUTPUT。即默认情况下不丢弃所有OUTPUT数据包。在这种情况下,对于拥有的每个防火墙规则要求,只需定义一个规则即可。即只为INPUT定义规则,因为所有数据包的传出都是ACCEPT。

3、阻止指定的IP地址进入

BLOCK_THIS_IP="x.x.x.x" iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP
或者
iptables -A INPUT -i ens160 -s "$BLOCK_THIS_IP" -j DROP
或者 iptables -A INPUT -i ens160 -p tcp -s "$BLOCK_THIS_IP" -j DROP

定义一个变量,值写入要阻止的ip地址。上面第一条规则的意思是从某个ip进入的流量拒绝掉。第二条规则是阻止某个ip地址从eth0进入的流量。第三条规则指的是拒绝某个ip地址从eth0进入访问tcp协议的流量。

4、允许外部用户ssh登录本机

以下规则允许ens160接口上的所有传入的ssh连接。

iptables -A INPUT -i ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

下面是允许指定网段的ip地址连接本机的ssh服务:

iptables -A INPUT -i ens160 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5、允许本机使用ssh登录远程主机

以下规则允许传出ssh连接。当从内部ssh连接到外部服务器时可以使用:

iptables -A OUTPUT -o ens160 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6、使用multiport模块,允许外部访问本机的80,443

下面使用multiport模块,可以减少写入规则条数。下面实例允许外部访问本机的http,https服务。

iptables -A INPUT -i ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

7、允许本地访问外部的http,https服务

下面命令允许本机访问外面的http,https服务:

iptables -A OUTPUT -o ens160 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ens160 -p tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT

8、允许外部ping本机

以下规则允许外部用户能够ping你的服务器:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

9、允许本机ping外部

以下规则允许从内部ping到任何外部服务器:

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

10、防DDOS攻击

下面规则将帮助你预防Web服务器上的拒绝服务(DoS)攻击:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
  • -m limit:使用limit模块
  • –limit 25/minute:此限制每分钟最多25个连接。根据具体要求更改此值
  • –limit-burst 100:该值表示只有在连接总数达到limit-burst级别后,才执行limit 25/minute。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/204804.html<

(0)
管理的头像管理
上一篇2025-04-07 07:58
下一篇 2025-04-07 07:59

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注