监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1921|回复: 0
打印 上一主题 下一主题

Linux防火墙规则

  [复制链接]

37

主题

361

帖子

901

积分

版主

跳转到指定楼层
1
发表于 2010-3-18 21:03:01 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
对链操作:

  建立一个新的链 ( -N)
  删除一个链 ( -X)
  改变一个内建(默认)规则链 ( -P)
  列出链中的所有规则 ( -L)
  清除一个链中的所有规则 ( -F)
对规则的基本操作:
  -A 在链尾加一条规则
  -I 插入规则
  -D 删除规则
  -R 替代一条已存在的规则
  -L 列出所有规则
对链与规则的目标动作:
  ACCEPT 接收该数据报
  DROP 丢弃该数据报
  REJECT 拒绝该数据报
对规则的基本匹配条件:
  -p 指定协议 (tcp / udp/ icmp)
  -s 源地址 (IP Address / mask Len)
  -d 目的地址 (IP Address / mask Len)
  -i 数据报输入接口
  -o 数据报输出接口  
  --sport 源端口协议 (tcp / upd / icmp)
  --dport 目的端口协议 (tcp / upd / icmp)  
附:
PREROUTING 用于DNAT 只能选择进入接口 ( -i )
POSTROUTING用于SNAT 只能选择送出接口 ( -o )  
在使用iptables 前装载 NAT 模块
  modprobe iptable_nat (主要模块)
modprobe ip_contrack
modprobe ip_contrack_ftp
modprobe ip_nat_ftp
基本语法:
iptables -t table -Operation chain -j target
例:允许所有IP到本机的SMTP port 的连接
iptables -t filter -A INPUT -p tcp --dport smtp -j ACCEPT
删除一个规则:
iptables -t filter/nat/mangle -D INPUT/OUTPUT/FORWARD/… 1/2/3/…
删除所有规则:
iptables -t filter/nat/mangle -F
删除一个外加的链:
iptables -t filter/nat/mangle -X (外加的链)
检查当前链状态:
iptables -L -t filter/nat/mangle or iptables -L (只对filter有效)
改变一个链的规则:
iptables -t filter/nat/mangle -P INPUT/OUTPUT/FORWARD/…
不允许所有电脑ping my server:
iptables -A INPUT -p icmp -j DROP
允许内网ssh连server:
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport ssh -j ACCEPT
阻塞外网对内网server的ssh连接:
iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --dport ssh -j DROP
阻塞向外网的的telnet连接
iptables -A OUTPUT -p tcp --dport telnet -j DROP
禁止192.168.0.4的IP访问所有www:
iptables -A FORWARD -s 192.168.0.4 -p tcp --dport www -j REJECT
禁止某NIC’s Address 不能访问所有的www:
iptables -A FORWARD -p tcp -m mac -- mac-source <mac adderss> -d 0.0.0.0 - --dport www -j DROP
在NAT(-nat)表中加入一条规则,在路由之前(-A PREROUTING) 指向1.2.3.4(-d 1.2.3.4)8080 port (-dport 8080)的tcp包(-p tcp)目标地址 (-j DNAT)被重定向到192.168.0.4的80port(--to 192.168.0.4:80):  
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 - - dprot 8080 -j DNAT - - to 192.168.0.4:80  
SNAT的特例为伪装(MASQUERADE)只用于动态分配IP地址的情况(静态IP地址请用SNAT)
伪装所有ppp0送出的东西:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
伪装来源为192.168.0.4的www协议到ppp0送出到202.64.164.247的80端口:
iptables -t nat -A POSTROUTING -s 192.168.0.4 -p tcp --sport www -o ppp0 -j MASQUERADE --to 202.64.164.247

附内核的编辑:
  /usr/src/kernel’s version/make menuconfig
  /usr/src/kernel’s version/make xconfig
  /usr/src/kernel’s version/make config
  内核配置完后运行:
make bzImage
make modules
make modules_install

IPTables 使用手册:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册通行证

x
做人要厚道,看贴要回帖!
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-23 19:57 , Processed in 0.075511 second(s), 29 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表