iptables规则的查看、添加、删除和修改IP及其端口

MichelinMessi 2016-08-12

iptables规则的查看、添加、删除和修改

http://www.cszhi.com/20120717/iptables-sample.html

http://blog.csdn.net/zht666/article/details/17505789

iptables禁止端口和开放端口

1、关闭所有的INPUTFORWARDOUTPUT只对某些端口开放。

下面是命令实现:

iptables-PINPUTDROP

iptables-PFORWARDDROP

iptables-POUTPUTDROP

再用命令iptables-L-n查看是否设置好,好看到全部DROP了

这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态

还要使用serviceiptablessave进行保存

看到信息firewallrules防火墙的规则其实就是保存在/etc/sysconfig/iptables

可以打开文件查看vi/etc/sysconfig/iptables

2、

下面我只打开22端口,看我是如何操作的,就是下面2个语句

iptables-AINPUT-ptcp--dport22-jACCEPT

iptables-AOUTPUT-ptcp--sport22-jACCEPT

再查看下iptables-L-n是否添加上去,看到添加了

ChainINPUT(policyDROP)

targetprotoptsourcedestination

ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22

ChainFORWARD(policyDROP)

targetprotoptsourcedestination

ChainOUTPUT(policyDROP)

targetprotoptsourcedestination

ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22

现在Linux服务器只打开了22端口,用putty.exe测试一下是否可以链接上去。

可以链接上去了,说明没有问题。

最后别忘记了保存对防火墙的设置

通过命令:serviceiptablessave进行保存

iptables-AINPUT-ptcp--dport22-jACCEPT

iptables-AOUTPUT-ptcp--sport22-jACCEPT

针对这2条命令进行一些讲解吧

-A参数就看成是添加一条INPUT的规则

-p指定是什么协议我们常用的tcp协议,当然也有udp例如53端口的DNS

到时我们要配置DNS用到53端口大家就会发现使用udp协议的

而--dport就是目标端口当数据从外部进入服务器为目标端口

反之数据从服务器出去则为数据源端口使用--sport

-j就是指定是ACCEPT接收或者DROP不接收

3、禁止某个IP访问

1台Linux服务器,2台windowsxp操作系统进行访问

Linux服务器ip192.168.1.99

xp1ip:192.168.1.2

xp2ip:192.168.1.8

下面看看我2台xp都可以访问的

192.168.1.2这是xp1可以访问的,

192.168.1.8xp2也是可以正常访问的。

那么现在我要禁止192.168.1.2xp1访问,xp2正常访问,

下面看看演示

通过命令iptables-AINPUT-ptcp-s192.168.1.2-jDROP

这里意思就是-A就是添加新的规则,怎样的规则呢?由于我们访问网站使用tcp的,

我们就用-ptcp,如果是udp就写udp,这里就用tcp了,-s就是来源的意思,

ip来源于192.168.1.2,-j怎么做我们拒绝它这里应该是DROP

好,看看效果。好添加成功。下面进行验证一下是否生效

一直出现等待状态最后该页无法显示,这是192.168.1.2xp1的访问被拒绝了。

再看看另外一台xp是否可以访问,是可以正常访问的192.168.1.8是可以正常访问的

4、如何删除规则

首先我们要知道这条规则的编号,每条规则都有一个编号

通过iptables-L-n--line-number可以显示规则和相对应的编号

numtargetprotoptsourcedestination

1DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:3306

2DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:21

3DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:80

多了num这一列,这样我们就可以看到刚才的规则对应的是编号2

那么我们就可以进行删除了

iptables-DINPUT2

删除INPUT链编号为2的规则。

再iptables-L-n查看一下已经被清除了。

5、过滤无效的数据包

假设有人进入了服务器,或者有病毒木马程序,它可以通过22,80端口像服务器外传送数据。

它的这种方式就和我们正常访问22,80端口区别。它发向外发的数据不是我们通过访问网页请求

而回应的数据包。

下面我们要禁止这些没有通过请求回应的数据包,统统把它们堵住掉。

iptables提供了一个参数是检查状态的,下面我们来配置下22和80端口,防止无效的数据包。

iptables-AOUTPUT-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT

可以看到和我们以前使用的:

iptables-AOUTPUT-ptcp--sport22-jACCEPT

多了一个状态判断。

同样80端口也一样,现在删掉原来的2条规则,

iptables-L-n--line-number这个是查看规则而且带上编号。我们看到编号就可以

删除对应的规则了。

iptables-DOUTPUT1这里的1表示第一条规则。

当你删除了前面的规则,编号也会随之改变。看到了吧。

好,我们删除了前面2个规则,22端口还可以正常使用,说明没问题了

下面进行保存,别忘记了,不然的话重启就会还原到原来的样子。

serviceiptablessave进行保存。

Savingfirewallrulesto/etc/sysconfig/iptables:[OK]

其实就是把刚才设置的规则写入到/etc/sysconfig/iptables文件中。

6、DNS端口53设置

下面我们来看看如何设置iptables来打开DNS端口,DNS端口对应的是53

大家看到我现在的情况了吧,只开放22和80端口,我现在看看能不能解析域名。

hostwww.google.com输入这个命令后,一直等待,说明DNS不通

出现下面提示:

;;connectiontimedout;noserverscouldbereached

ping一下域名也是不通

[root@localhost~pingwww.google.com

ping:unknownhostwww.google.com

我这里的原因就是iptables限制了53端口。

有些服务器,特别是Web服务器减慢,DNS其实也有关系的,无法发送包到DNS服务器导致的。

下面演示下如何使用iptables来设置DNS53这个端口,如果你不知道域名服务端口号,你

可以用命令:grepdomain/etc/services

相关推荐

老谢的自留地 / 0评论 2020-05-31