MichelinMessi 2016-08-12
iptables规则的查看、添加、删除和修改
http://www.cszhi.com/20120717/iptables-sample.html
http://blog.csdn.net/zht666/article/details/17505789
iptables禁止端口和开放端口
1、关闭所有的INPUTFORWARDOUTPUT只对某些端口开放。
下面是命令实现:
iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTDROP
再用命令iptables-L-n查看是否设置好,好看到全部DROP了
这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态
还要使用serviceiptablessave进行保存
看到信息firewallrules防火墙的规则其实就是保存在/etc/sysconfig/iptables
可以打开文件查看vi/etc/sysconfig/iptables
2、
下面我只打开22端口,看我是如何操作的,就是下面2个语句
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AOUTPUT-ptcp--sport22-jACCEPT
再查看下iptables-L-n是否添加上去,看到添加了
ChainINPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22
ChainFORWARD(policyDROP)
targetprotoptsourcedestination
ChainOUTPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22
现在Linux服务器只打开了22端口,用putty.exe测试一下是否可以链接上去。
可以链接上去了,说明没有问题。
最后别忘记了保存对防火墙的设置
通过命令:serviceiptablessave进行保存
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AOUTPUT-ptcp--sport22-jACCEPT
针对这2条命令进行一些讲解吧
-A参数就看成是添加一条INPUT的规则
-p指定是什么协议我们常用的tcp协议,当然也有udp例如53端口的DNS
到时我们要配置DNS用到53端口大家就会发现使用udp协议的
而--dport就是目标端口当数据从外部进入服务器为目标端口
反之数据从服务器出去则为数据源端口使用--sport
-j就是指定是ACCEPT接收或者DROP不接收
3、禁止某个IP访问
1台Linux服务器,2台windowsxp操作系统进行访问
Linux服务器ip192.168.1.99
xp1ip:192.168.1.2
xp2ip:192.168.1.8
下面看看我2台xp都可以访问的
192.168.1.2这是xp1可以访问的,
192.168.1.8xp2也是可以正常访问的。
那么现在我要禁止192.168.1.2xp1访问,xp2正常访问,
下面看看演示
通过命令iptables-AINPUT-ptcp-s192.168.1.2-jDROP
这里意思就是-A就是添加新的规则,怎样的规则呢?由于我们访问网站使用tcp的,
我们就用-ptcp,如果是udp就写udp,这里就用tcp了,-s就是来源的意思,
ip来源于192.168.1.2,-j怎么做我们拒绝它这里应该是DROP
好,看看效果。好添加成功。下面进行验证一下是否生效
一直出现等待状态最后该页无法显示,这是192.168.1.2xp1的访问被拒绝了。
再看看另外一台xp是否可以访问,是可以正常访问的192.168.1.8是可以正常访问的
4、如何删除规则
首先我们要知道这条规则的编号,每条规则都有一个编号
通过iptables-L-n--line-number可以显示规则和相对应的编号
numtargetprotoptsourcedestination
1DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:3306
2DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:21
3DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:80
多了num这一列,这样我们就可以看到刚才的规则对应的是编号2
那么我们就可以进行删除了
iptables-DINPUT2
删除INPUT链编号为2的规则。
再iptables-L-n查看一下已经被清除了。
5、过滤无效的数据包
假设有人进入了服务器,或者有病毒木马程序,它可以通过22,80端口像服务器外传送数据。
它的这种方式就和我们正常访问22,80端口区别。它发向外发的数据不是我们通过访问网页请求
而回应的数据包。
下面我们要禁止这些没有通过请求回应的数据包,统统把它们堵住掉。
iptables提供了一个参数是检查状态的,下面我们来配置下22和80端口,防止无效的数据包。
iptables-AOUTPUT-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
可以看到和我们以前使用的:
iptables-AOUTPUT-ptcp--sport22-jACCEPT
多了一个状态判断。
同样80端口也一样,现在删掉原来的2条规则,
iptables-L-n--line-number这个是查看规则而且带上编号。我们看到编号就可以
删除对应的规则了。
iptables-DOUTPUT1这里的1表示第一条规则。
当你删除了前面的规则,编号也会随之改变。看到了吧。
好,我们删除了前面2个规则,22端口还可以正常使用,说明没问题了
下面进行保存,别忘记了,不然的话重启就会还原到原来的样子。
serviceiptablessave进行保存。
Savingfirewallrulesto/etc/sysconfig/iptables:[OK]
其实就是把刚才设置的规则写入到/etc/sysconfig/iptables文件中。
6、DNS端口53设置
下面我们来看看如何设置iptables来打开DNS端口,DNS端口对应的是53
大家看到我现在的情况了吧,只开放22和80端口,我现在看看能不能解析域名。
hostwww.google.com输入这个命令后,一直等待,说明DNS不通
出现下面提示:
;;connectiontimedout;noserverscouldbereached
ping一下域名也是不通
[root@localhost~pingwww.google.com
ping:unknownhostwww.google.com
我这里的原因就是iptables限制了53端口。
有些服务器,特别是Web服务器减慢,DNS其实也有关系的,无法发送包到DNS服务器导致的。
下面演示下如何使用iptables来设置DNS53这个端口,如果你不知道域名服务端口号,你
可以用命令:grepdomain/etc/services