centos6.X防火墙

2023-07-21 14:14:12 浏览数 (1)

1,来自103.36.166 这个“恶意”来源就丢弃

iptables -A INPUT -s 103.36.166 -j DROP

2,允许外部数据访问本机80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

3,允许外部来自80端口的数据访问本机

iptables -A INPUT -p tcp --sport 80 -j ACCEPT #注意2,3例的不同

4,删除“图五”中 第5条规则 103.36.167

iptables -D INPUT 5

5,来自192.168.1.0/24网络15-59928端口的数据包,不允许访问本机ssh端口。

iptables -A INPUT -p tcp -s 192.168.1.0/24 --sport 15:59928 --dport ssh -j DROP

6,设置对本机的禁PING 103.36.165

iptables -A INPUT -p icmp --icmp-type 8 -j DROP # type 8 就是 echo request (回传需求),

注意:这条规则使用的是-A添加 如果防火墙策略本身有允许icmp type 8 则这条规则不会生效,需要使用-I 这个参数插入规则。

以上规则执行后只是临时生效重启后会失效,如果要永久生效必须写入配置文件

写入防火墙规则配置文件:/etc/init.d/iptables save

dport(目标端口) 和sport(来源端口)字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。

但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT)

比如范例2,iptables -A INPUT -p tcp --dport 80 -j ACCEPT,

注意里面的INPUT参数,这个代表你的这条数据包的进行的 “进入” 操作!

那么这条数据包可以这么描述:凡进从外部进入本机的,数据要访问的目标端口(dport)为80,都允许以上数据行为。(这里的目标端口就是80

再看范例3:iptables -A INPUT -p tcp -sport 80 -j ACCEPT

那么这条数据包可以这么描述:凡进从外部进入本机的,数据来源端口(sport)为80的(对方的数据包是80端口发送过来的),都允许以上数据行为。

iptables 详解二之外挂模103.88.35

Iptables –A INPUT [-m state] [--state 状态]

选项与参数:

-m:一些 iptables 的外挂模块,主要常见的有:

state:状态模块

mac :网卡硬件地址

--state:一些数据包的状态,主要有

INVALID :无效的数据包,例如数据破损对的数据包状态

ESTABLISHED:已经连接成功的连接状

NEW :想要新建立的数据包状态

RELATED :这个最常用,表示这个数据包是与主机发送出去的数据包有关。

03.范例举例iptables外挂模块运用

1,只要已建立连接或与已发送数据相关的数据包就予以通过,不合法数据包丢弃。 110.42.7

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

2,针对局域网内 aa:bb:cc:dd:ee:ff 主机开放其连接

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

--mac-source 就是来源主机的mac

3,不允许本机访问117.27.159.157的80端口 (此例和外挂模块无关,补的一条举例)

iptables -A OUTPUT -p tcp -d 117.27.159.157 --dport 80 -DROP

以上规则执行后只是临时生效重启后会失效,如果要永久生效必须写入配置文件

写入防火墙规则配置文件:/etc/init.d/iptables save(这点同(4))

0 人点赞