前提說明
iptables 的設(shè)置在 CentOS 和 Ubuntu 下有些細(xì)節(jié)不一樣�,Ubuntu 這里不講,文章底下貼的資料有部分關(guān)于 Ubuntu 的��,有需要的可以自己看�����。一般大家會(huì)用到 iptables 都是服務(wù)器�����,而一般服務(wù)器大家普遍是用 CentOS)
Iptables 安裝
-
查看是否已安裝:
- CentOS:
rpm -qa | grep iptables
- 安裝(一般系統(tǒng)是集成的):
- CentOS 6:
sudo yum install -y iptables
Iptables 服務(wù)器配置文件常用參數(shù)
- 常用命令:
- 查看已有規(guī)則列表�����,并且顯示編號(hào):
sudo iptables -L -n --line-numbers
- http://wiki.jikexueyuan.com/project/linux-in-eye-of-java/images/Iptables-a-1.jpg" alt="Iptables 服務(wù)器配置文件常用參數(shù)" />
- 要?jiǎng)h除 INPUT 里序號(hào)為 8 的規(guī)則�����,執(zhí)行:
sudo iptables -D INPUT 8
- 保存配置命令:
sudo service iptables save 或者 sudo /etc/rc.d/init.d/iptables save
- 重啟服務(wù)命令 :
sudo service iptables restart
- 查看服務(wù)狀態(tài):
sudo service iptables status
- 設(shè)置開啟默認(rèn)啟動(dòng):
sudo chkconfig --level 345 iptables on
- 清除所有規(guī)則(慎用)
sudo iptables -Fsudo iptables -Xsudo iptables -Z
- 添加規(guī)則:格式
sudo iptables [-AI 鏈名] [-io 網(wǎng)絡(luò)接口] [-p 協(xié)議] [-s 來源IP/網(wǎng)域] [-d 目標(biāo)IP/網(wǎng)域] -j [ACCEPT|DROP|REJECT|LOG]
- 選項(xiàng)與參數(shù):
- -AI 鏈名:針對(duì)某的鏈進(jìn)行規(guī)則的 "插入" 或 "累加"
- -A :新增加一條規(guī)則���,該規(guī)則增加在原本規(guī)則的最后面�。例如原本已經(jīng)有四條規(guī)則���,使用 -A 就可以加上第五條規(guī)則�!
- -I :插入一條規(guī)則����。如果沒有指定此規(guī)則的順序,默認(rèn)是插入變成第一條規(guī)則�����。例如原本有四條規(guī)則����,使用 -I 則該規(guī)則變成第一條����,而原本四條變成 2~5 號(hào)鏈 :有 INPUT, OUTPUT, FORWARD 等��,此鏈名稱又與 -io 有關(guān)�,請(qǐng)看底下。
- -io 網(wǎng)絡(luò)接口:設(shè)定封包進(jìn)出的接口規(guī)范
- -i :封包所進(jìn)入的那個(gè)網(wǎng)絡(luò)接口�,例如 eth0, lo 等接口。需與 INPUT 鏈配合���;
- -o :封包所傳出的那個(gè)網(wǎng)絡(luò)接口����,需與 OUTPUT 鏈配合��;
- -p 協(xié)定:設(shè)定此規(guī)則適用于哪種封包格式���。主要的封包格式有: tcp, udp, icmp 及 all 。
- -s 來源 IP/網(wǎng)域:設(shè)定此規(guī)則之封包的來源項(xiàng)目�����,可指定單純的 IP 或包括網(wǎng)域,例如:IP:192.168.0.100����,網(wǎng)域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。若規(guī)范為『不許』時(shí)�,則加上 ! 即可,例如:-s ! 192.168.100.0/24 表示不許 192.168.100.0/24 之封包來源��。
- -d 目標(biāo) IP/網(wǎng)域:同 -s ����,只不過這里指的是目標(biāo)的 IP 或網(wǎng)域。
- -j :后面接動(dòng)作��,主要的動(dòng)作有接受(ACCEPT)�����、丟棄(DROP)��、拒絕(REJECT)及記錄(LOG)
Iptables 例子
- 開放指定端口
sudo iptables -I INPUT -i lo -j ACCEPT #允許本地回環(huán)接口(即運(yùn)行本機(jī)訪問本機(jī))sudo iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允許已建立的或相關(guān)連的通行sudo iptables -I OUTPUT -j ACCEPT #允許所有本機(jī)向外的訪問sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # 允許訪問 22 端口sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #允許訪問 80 端口sudo iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT #允許訪問 8080 端口sudo iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #允許 FTP 服務(wù)的 21 端口sudo iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #允許 FTP 服務(wù)的 20 端口sudo iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許 pingsudo iptables -I INPUT -j REJECT #禁止其他未允許的規(guī)則訪問(使用該規(guī)則前一定要保證 22 端口是開著���,不然就連 SSH 都會(huì)連不上)sudo iptables -I FORWARD -j REJECT
Iptables 資料
