日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > linux >内容正文

linux

linux iptable配置

發布時間:2024/1/8 linux 40 豆豆
生活随笔 收集整理的這篇文章主要介紹了 linux iptable配置 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

首先如果是使用的云服務器,比如阿里云或者是騰訊云的。先去控制臺將對應的接口放行,我這邊配置的是放行所有端口用于測試,如果是生產環境可以根據需要放行。

通過本操作,請確認您能使用Linux本機。如果您使用的是ssh遠程,而又不能直接操作本機,那么先加上下面的代碼。當然最壞的結果是所有的端口都不能訪問,甚至無法登陸ssh,但5分鐘之后,定時器會幫你關掉iptables防火墻。

[root@localhost ~]# crontab -uroot -e ?
?
*/5 * * * * /etc/init.d/iptables stop ?##定時5分鐘關閉防火墻,防止設置錯誤,導致無法進行ssh登陸

首先講介紹幾個簡單命令:

/etc/init.d/iptables save ?##保存防火墻規則,如果不進行保存的話 重啟iptables之后規則將消失
?
iptables -L -n ? ? ? ? ? ?##查看當前防火墻規則

PS:在添加規則之前先用iptables -L -n查看一下當前規則,如果顯示沒有規則,可能是你的iptables沒有開啟。如果這個時候添加規則,保存之后將覆蓋之前的規則。如果要繼續使用之前的規則,先開啟iptables服務,這時候就能看到之前的規則,然后再在之前的基礎上添加。

我們先添加兩條規則

iptables -A INPUT -p tcp --dport 22 -j ACCEPT ? ? ?##添加一個開放端口22的輸入流的規則
?
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ? ?##添加一個開放端口22的輸出流的規則
?

添加以上兩條規則之后,就不用擔心登陸不了SSH了,想了解命令詳情使用iptables --help

這里重點講一下iptables 里面的 dport 和 sport的區別:

dport:目的端口

sport:來源端口

通過兩個INPUT的例子,大家區分下INPUT里面的dport 和sport

例子1:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
?

這條INPUT規則可以這么描述:

? ? ? ? 1.這是一條從外部進入內部本地服務器的數據。

? ? ? ? 2.數據包的目的(dport)地址是22,就是要訪問我本地的22端口。

? ? ? ? 3.允許以上的數據行為通過。

例子2:

1
?
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
?

這條INPUT規則可以這么描述: ? ? ??

? ? ? ? 1.這是一條從外部進入內部本地服務器的數據。

? ? ? ? 2.數據包的來源端口是(sport)22,就是對方的數據包是22端口發送過來的。

? ? ? ? 3.允許以上數據行為。

通過兩個OUTPUT的例子,大家區分下OUTPUT里面的dport 和sport

例子1:

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
?

這條OUTPUT規則可以這么描述: ? ? ??

? ? ? ? 1.這是一條從內部出去的數據。

? ? ? ? 2.出去的目的(dport)端口是22。

? ? ? ? 3.允許以上數據行為。

例子2:

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

這條OUTPUT規則可以這么描述: ??

? ? ? ? 1.這是一條從內部出去的數據。

? ? ? ? 2.數據包的來源端口是(sport)22,從本服務器的22端口發出數據。

? ? ? ? 3.允許以上數據行為。

默認INPUT、OUTPUT、FORWARD都是ACCEPT的

不添加規則,則對所有端口的數據來者不拒~

iptables -P INPUT DROP ?#如果沒有添加端口22的accept規則,切勿運行此命令

如果運行上述命令的話,則是除了添加的規則之外的INPUT數據包都DROP掉。。。

同理還有這些命令:

iptables -P OUTPUT ?DROP
iptables -P FORWARD DROP

一般把INPUT設置為DROP。那么我們需要添加一些規則針對INPUT的ACCEPT的規則:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT ?#開放ssh端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT ?#開放web服務端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT ?#開放ftp服務端口
?
iptables -A INPUT -p icmp -j ACCEPT ? ? ?#允許icmp包通過,也就是允許ping
iptables -A INPUT -i lo -p all -j ACCEPT ?#允許loopback
?
#####如果你還做了其他的服務器,需要開啟哪個端口,照寫就行了.

?一般把OUTPUT設置為ACCEPT。那么我們需要添加一些規則針對OUTPUT的DROP規則:

關閉一些端口
iptables -A OUTPUT -p tcp --sport 27444 -j DROP ?
iptables -A OUTPUT -p tcp --sport 27665 -j DROP
iptables -A OUTPUT -p tcp --sport 31337 -j DROP

總結

以上是生活随笔為你收集整理的linux iptable配置的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。