iptables练习

一、COMMAND

1、列出所有链的规则:iptables -L ,显示某条链的规则就是iptables -L INPUT

详细信息:iptables -vnL

2、清楚所有链的规则 :iptables -F

3、设置默认规则策略:iptables -P INPUT DROP,iptables -P OUTPUT DROP , iptables -P FORWARD DROP(拒绝所有数据包)

在虚拟机上改成:iptables -P INPUT ACCEPT ,远程连接才可用。

4、添加规则,在INPUT链上添加规则,协议是tcp,目标端口号是21:iptables -A INPUT -p tcp –dport 21

5、插入规则,在INPUT链上插入规则,协议是tcp,目标端口号是23,规则号是1:iptables -I INPUT 1 -p tcp –dport 23

6、替换规则,在INPUT链上替换规则号1的iptables规则,将目标端口号更改为24:iptables -R INPUT 1 -p tcp –dport 24

7、删除规则,在INPUT 链上删除规则号是1的iptables规则

二、match:基本规则匹配器

1、指定协议:iptables -A INPUT -p tcp -j ACCEPT

2、指定ICMP类型:iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT

3、指定ip地址:iptables -A INPUT -s 192.168.1.109 -j ACCEPT

4、指定接口:iptables -A FORWARD -o eno16777736 -j ACCEPT

5、指定端口号:iptables -A INPUT -p tcp –sport 80 -j ACCEPT

三、match:扩展规则匹配器

1、limit :限制速率。iptables -I INPUT -d 192.168.1.109 -p icmp –icmp-type 8 -m limit –limit 3/minute –limit-burst 5 -j ACCEPT

2、iprange :一整段连续的ip都可以:iptables -A INPUT -d 172.16.100.67 -p tcp –dport 80 -m iprange –src-range 172.16.100.5-172.16.100.10 -j DROP

3、time :指定某个时间范围内可以。

4、multiport :多个端口

5、string :对报文中的字符串做匹配检查,一些敏感词汇。

6、state:根据”连接追踪机制“去检查连接的状态。

练习:INPUT 和 OUTPUT 默认策略为 DROP;

1、限制本地主机的 web 服务器在周一不允许访问;新请求的速率不能超过 100 个每秒;web 服务器包含了 admin 字符串的页面不允许访问;web 服务器仅允许响应报文离开本机;

周一不允许访问

新请求速率不能超过100个每秒

web包含admin字符串的页面不允许访问,源端口:dport

web服务器仅允许响应报文离开主机,放行端口(目标端口):sport

2、在工作时间,即周一到周五的 8:30-18:00,开放本机的 ftp 服务给 172.16.0.0 网络中的主机访问;数据下载请求的次数每分钟不得超过 5 个;

3、开放本机的 ssh 服务给 172.16.x.1-172.16.x.100 中的主机,x 为你的学号,新请求建立的速率一分钟不得超过 2 个;仅允许响应报文通过其服务端口离开本机;

4、拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

5、允许本机 ping 别的主机;但不开放别的主机 ping 本机;

作者:yezi

来源:http://www.178linux.com/64323

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2017-01-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IMWeb前端团队

webpack 项目 css/js主域重试

为了提高网站的访问速度,现在一般会将静态资源放在 CDN 下,而不是放在网站的域名之下。以腾讯课堂为例,其域名为 ke.qq.com,打开控制台,访问 ke....

25710
来自专栏运维

linux下自动备份脚本并上传到ftp服务器

#!/bin/bash #设置日志文件,前提建好了/backup/log目录 LogFile=/backup/log/`date +"%Y-%m"`.log...

2323
来自专栏杨建荣的学习笔记

客户端无法连接数据库的小问题(r8笔记第53天)

最近碰到了一个比较奇怪的数据库连接问题。问题的起因是做一个数据整合的时候,把服务器B的防火墙信息都拷贝到了服务器A,迁移的过程都很顺利,是一套开 发测试环境,迁...

3239
来自专栏追不上乌龟的兔子

[译]使用iptables控制网络流量

iptables是一个允许用户配置特定规则的应用程序,这些规则由将由内核netfilter框架强制执行。它充当数据包过滤器和防火墙,可根据端口,协议和其他标准检...

1.1K3
来自专栏魏艾斯博客www.vpsss.net

iptables 报错:iptables-restore: unable to initialize table ‘filter 的解决办法

8873
来自专栏Netkiller

Linux 系统安全与优化配置

Linux 系统安全与优化配置 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 ...

3675
来自专栏進无尽的文章

工程管理篇 | APP环境分离的实现

如何实现在同一台手机能同时安装同个应用的测试和生产版本?应用名称要有区分,图标也要有所区别。不要手动修改Bundle id和应用名称,也不要手动替换图标,更不要...

1162
来自专栏运维

linux备份脚本之遍历目录下所有二级目录并备份

1,备份脚本如下,我这里以备份CVS目录为例,总CVS目录下有几个Project,统统备份

2023
来自专栏散尽浮华

Linux服务器安全登录设置记录

在日常运维工作中,对加固服务器的安全设置是一个机器重要的环境。比较推荐的做法是: 1)严格限制ssh登陆(参考:Linux系统下的ssh使用(依据个人经验总结)...

29410
来自专栏散尽浮华

Iptables之recent模块小结

Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全。

2193

扫码关注云+社区

领取腾讯云代金券