Iptables 规则.doc

设定规则 iptables -p INPUT DROP?iptables -p OUTPUT ACCEPT?iptables -p FORWARD DROP 1、防止外网用内网IP欺骗 iptables -t nat -A PREROUTING -i eth0 -s /8 -j DROP?iptables -t nat -A PREROUTING -i eth0 -s /12 -j DROP?iptables -t nat -A PREROUTING -i eth0 -s /16 -j DROP ???查看nat规则 iptables -t nat -L 2、如果想取消上面所加的规则： iptables -F -t nat?iptables -X -t nat?iptables -Z -t nat 3、阻止一个IP连接本机 iptables -t filter -A INPUT -s -i eth0 -j DROP 4、查看本机的IPTABLES的所填规则 iptables -L -n 5、清除filter中所有的规则连接 iptables -F ??清除filter中使用者自定义连接中的规则 iptables -X 6、保存所修改的iptables规则 /etc/rc.d/init.d/iptables save ? 重新启动iptables服务 service iptables restart 7、关闭不安全的端口连接本机 iptables -A OUTPUT -p tcp --sport 31337 -j DROP?iptables -A OUTPUT -p tcp --dport 31337 -j DROP 8、开启所需要的端口 22?iptables -A INPUT -p tcp --dport 22 -j ACCEPT?iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT?80?iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT?iptables -A INPUT -p tcp --dport 80 -j ACCEPT 9、禁止一个IP或者一个IP段访问服务器端口服务 80端口?iptables -t filter -I INPUT 2 -s /24 -p tcp --dport http -j DROP FTP端口?iptables -t filter -I INPUT 2 -s -p tcp --dport ftp -j DROP 用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables -LFZ 链名 [选项]iptables -[NX] chain用 -NX 指定链iptables -P chain target[options]指定链的默认目标iptables -E old-chain-name new-chain-name-E 旧的链名 新的链名?用新的链名取代旧的链名说明Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。?可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作target（目标），也可以跳向同一个表内的用户定义的链。TARGETS防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。TABLES当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。-t table这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模