LInux iptables 屏蔽设置

Posted 2023-03-22

参考技术A 1.修改SSH配置文件：/etc/ssh/sshd_config #找到Port 22，这里是标识默认使用22端口，修改为：

Port 22

Port 1234

/etc/init.d/sshd restart

#这样SSH端口将同时工作在22、1234上

查看防火墙规则

1、iptables -nvL

2、more /etc/sysconfig/iptables

2.添加防火墙规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 1234 -j ACCEPT

/etc/rc.d/init.d/iptables save

/etc/rc.d/init.d/iptables restart

然后使用SSH工具 测试 你所设置的端口是否能正常使用

如果能正常使用返回到第一步，删除原来的22端口，以及修改防火墙配置文件

之所以先设置成两个端口，测试成功后再关闭一个端口，是为了方式在修改的过程中，万一出现掉线、断网、误操作等未知情况时候，还能通过另外一个端口连接上去调试以免发生连接不上的状况。

开启自动启动：chkconfig iptables on

开启不自动启动：chkconfig iptables off

附录：

设定预设规则，INPUT链默认拒绝，OUTPUT链默认接受，FORWARD链默认拒绝

iptables -F #清除预设表filter中的所有规则链的规则

iptables -X #清除预设表filter中使用者自定链中的规则

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -L -n --line #按行数显示防火墙规则

iptables -D INPUT 1 #删除INPUT表第一条

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #来源、目的为127.0.0.1都接受,这条放最后就可以了

1、安装iptables防火墙

如果没有安装iptables需要先安装，CentOS执行：

yum install iptables

Debian/Ubuntu执行：

apt-get install iptables

2、清除已有iptables规则

iptables -F

iptables -X

iptables -Z

3、开放指定的端口

#允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#如果有其他端口的话，规则也类似，稍微修改上述语句就行

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT （注意：如果22端口未加入允许规则，SSH链接会直接断开。）

iptables -A FORWARD -j REJECT

4、屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。

#屏蔽单个IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

#封整个段即从123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

#封IP段即从123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

#封IP段即从123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

5、查看已添加的iptables规则

iptables -L -n

v：显示详细信息，包括每条规则的匹配包数量和匹配字节数

x：在 v 的基础上，禁止自动单位换算（K、M） vps侦探

n：只显示IP地址和端口号，不将ip解析为域名

6、删除已添加的iptables规则

将所有iptables以序号标记显示，执行：

iptables -L -n --line-numbers

比如要删除INPUT里序号为8的规则，执行：

iptables -D INPUT 8

7、iptables的开机启动及规则保存

CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：

chkconfig --level 345 iptables on

开启自动启动：chkconfig iptables on

开启不自动启动：chkconfig iptables off

将其加入开机启动。

CentOS上可以执行：

service iptables save

/etc/rc.d/init.d/iptables save

/etc/rc.d/init.d/iptables restart

保存规则。

另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。

需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则：

创建/etc/network/if-post-down.d/iptables 文件，添加如下内容：

#!/bin/bash

iptables-save > /etc/iptables.rules

执行：chmod +x /etc/network/if-post-down.d/iptables 添加执行权限。

创建/etc/network/if-pre-up.d/iptables 文件，添加如下内容：

#!/bin/bash

iptables-restore < /etc/iptables.rules

执行：chmod +x /etc/network/if-pre-up.d/iptables 添加执行权限。

关于更多的iptables的使用方法可以执行：iptables --help或网上搜索一下iptables参数的说明。

注：每次服务在停止之前会自动将现有的规则保存

在 /etc/sysconfig/iptables 这个文件中去.

Linux 使用 iptables屏蔽IP段

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。 [喝小酒的网摘]http://blog.hehehehehe.cn/a/7674.htm

netfilter/iptables 的最大优点是它可以配置有状态的防火墙，这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。 

#添加屏蔽IP
#禁止此IP访问服务器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服务器访问此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
如果要封某个网段：
iptables -I INPUT -s 1.2.3.0/24 -j DROP

#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP
iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP

#一键清空所有规则
iptables -F

#查看
iptables -L INPUT
或
iptables -L
或
iptables-save（此命令将保存规则，下次开机自动执行）

#处理IP碎片数量,防止攻击,允许每秒100个
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT[喝小酒的网摘]http://blog.hehehehehe.cn/a/7674.htm

转载自 [blog.hehehehehe.cn]喝小酒的网摘 及本文链接地址:http://blog.hehehehehe.cn/a/7674.htm

相关文章

• 网络判断操作相关经典命令行
• user-agent判断是否支持js
• asp导成excel
• ASP错误代码说明
• NeoSpeech中文男声语音Liang安装包及特别文件电驴下载地址

访问来源#

• IP:218.16.40.154:iptables
• IP:220.249.15.190:iptable 屏蔽ip
• IP:114.222.44.213:iptables drop 正则
• IP:14.16.12.140:linux 过滤 迅雷的包
• IP:58.213.46.202:屏蔽 c 网段 iptables
• IP:219.151.40.121:屏蔽 IP mac
• IP:180.168.34.26:iptables 屏蔽 ip