文档章节

Linux常用命令及组件:iptables简单应用

P
 PACIDC
发布于 2015/11/05 10:28
字数 711
阅读 11
收藏 0
  • 安装软件

我们购买的VPS,一般都已经预装iptables,可以先检查下iptables状态,确认是否安装.

service iptables status

若提示为iptables:unrecognized service,则需要安装.

yum install iptables #CentOS系统

apt-get install iptables#Debian系统

  • 配置规则

以下命令以CentOS为例.

安装好的iptables配置文件在/etc/sysconfig/iptables,默认的iptables我们可以无视之,采用下面的命令,清除默认规则.

iptables –F

iptables –X

iptables –Z

以下是一个简单的规则:

允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允许已建立的或相关连的通行

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

允许访问22端口

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

允许访问80端口

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

允许FTP服务的21和20端口

iptables -A INPUT -p tcp –dport 21 -j ACCEPT

iptables -A INPUT -p tcp –dport 20 -j ACCEPT

如果有其他端口的话,规则也类似,稍微修改上述语句就行

禁止其他未允许的规则访问

iptables -A INPUT -j REJECT(注意:如果22端口未加入允许规则,SSH链接会直接断开。)

iptables -A FORWARD -j REJECT

如果还有需要开启的端口,可以在上面添加,然后,保存规则并重启。

service iptables save#保存

或者/etc/rc.d/init.d/iptables save

service iptables restart#重启

在写到iptalbes规则的时候,我这里列出可能涉及的其他规则,譬如禁止单个IP:

-A INPUT -s 1.2.3.4 -j DROP

  • 查询修改及删除

iptables -L –n#查询规则

iptables -L -n --line-numbers#将规则按数字序号显示方便删除

iptables -D INPUT 4#删除第四条规则

  • 设定开机启动

chkconfig iptables on

  • 其他规则

以下部分规则,大家可以做些参考.

打开 syncookie (轻量级预防 DOS 攻击)

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

设置支持最大连接树为 30W(这个根据内存和 iptables 版本来,每个 connection 需要 300 多个字节)

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null

防止SYN攻击 轻量

iptables -N syn-flood

iptables -A INPUT -p tcp –syn -j syn-flood

iptables -A syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片

iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT

icmp包通过的控制,防止icmp黑客攻击

iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT

丢弃坏的TCP包

iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j LOG –log-prefix “New not syn:”

iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP


© 著作权归作者所有

共有 人打赏支持
P
粉丝 0
博文 15
码字总数 9990
作品 0
武汉
Linux 下的(防火墙)iptables

Linux上的常用的包过滤防火墙叫netfilter,是集成在内核上的,是使用iptables命令对它进行配置管理。 防火墙在做信息包过滤的时候,遵循一套规则,这些规则是存放在专用的信息过滤表中,而这...

巴利奇
2016/02/26
0
0
如何使用netfilter/iptables构建防火墙

对于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一 个防火墙并不能保证系统100%安全,但却是绝对必要的。Linux提供了一个非常优秀的防火墙工具—netfi...

水牛叔叔
2012/10/23
0
1
linux iptables常用实例

inux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处...

jk409
2016/03/02
40
0
76.linux 常用命令 记录(6.7版本)

1.Linux版本 centOs 6.7 1.1 准备工作 (1)安装虚拟机 : (2)Linux系统 : (3)CRT(Linux客户端): 2. 常用命令 (1)pwd:查看现在所在位置 root账号默认在进入后的位置在 root文件夹下...

Lucky_Me
01/01
0
0
ubuntu下防火墙端口号的设置

ubuntu下防火墙端口号的设置 iptables是linux下的防火墙,同时也是服务名称。 关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 再用命令 iptables -L -n 查看 是否设置好 还要使用 serv...

langb2014
04/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

5whys分析法在美团工程师中的实践

前言 网站的质量和稳定性对于用户和公司来说至关重要,但是在网站的快速发展过程中,由于各种原因导致事故不可避免的发生,这些大大小小的事故对公司难免会造成一些负面的影响,为了避免同类...

Skqing
19分钟前
0
0
Android 接收监听开机完成,并且开机自启动

1,定义一个广播接收者的类 ,并重写抽象方法 public class BootCompleteReceiver extends BroadcastReceiver 2,在Androidmanifest 注册 <receiver android:name=".receiver.BootCompleteRece......

lanyu96
23分钟前
1
0
小程序记录

1、button的边框、角等需要在伪元素after修改去除

originDu
25分钟前
0
0
微博什么技术啊……还说支持八个明星并发出轨,结果…

是的,大家可能都知道了,女神张靓颖结婚了。。 我去,写错了,是————赵丽颖。 为什么我头脑一瞬间出现的是张靓颖,作为一个码农,技术宅,拼音缩小都是 ZLY,博主我真有点傻傻分不清楚了...

Java技术栈
25分钟前
3
0
模块化

1,什么是模块化? 模块化是指将一个复杂的系统分解为多个模块,方便编码。 2,为什么要用模块化? 降低复杂性,降低代码耦合度,部署方便,提高效率。 3,模块化的好处? a,避免命名冲突,减少...

羊皮卷
26分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部