25个常用的防火墙规则之iptables_st独酌的博客-CSDN博客
25个常用的防火墙规则之iptables
st独酌
于 2018-10-31 10:02:42 发布
716
收藏
分类专栏：
防火墙
文章标签：
linux
防火墙
iptables
常用操作
防火墙
专栏收录该内容
5 篇文章
0 订阅
订阅专栏
本文将给出25个iptables常用规则示例，这些例子为您提供了些基本的模板，您可以根据特定需求对其进行修改调整以达到期望。  格式
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数
-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾加入新规则-I num 在规则链的头部加入新规则-D num 删除某一条规则-s 匹配来源地址IP/MASK，加叹号"!"表示除这个IP外。-d 匹配目标地址-i 网卡名称 匹配从这块网卡流入的数据-o 网卡名称 匹配从这块网卡流出的数据-p 匹配协议,如tcp,udp,icmp--dport num 匹配目标端口号--sport num 匹配来源端口号
示例
1. 删除已有规则
在开始创建iptables规则之前，你也许需要删除已有规则。
命令如下：iptables -F(or)iptables –flush
2.设置链的默认策略
链的默认政策设置为”ACCEPT”（接受），若要将INPUT,FORWARD,OUTPUT链设置成”DROP”（拒绝），命令如下：
iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP
当INPUT链和OUTPUT链都设置成DROP时，对于每一个防火墙规则，我们都应该定义两个规则。例如：一个传入另一个传出。在下面所有的例子中，由于我们已将DROP设置成INPUT链和OUTPUT链的默认策略，每种情况我们都将制定两条规则。当然，如果你相信你的内部用户,则可以省略上面的最后一行。例如：默认不丢弃所有出站的数据包。在这种情况下,对于每一个防火墙规则要求,你只需要制定一个规则——只对进站的数据包制定规则。
3. 阻止指定IP地址
例：丢弃来自IP地址x.x.x.x的包
iptables -A INPUT -s x.x.x.x -j DROP注：当你在log里发现来自某ip地址的异常记录，可以通过此命令暂时阻止该地址的访问以做更深入分析
例：阻止来自IP地址x.x.x.x eth0 tcp的包
iptables -A INPUT -i eth0 -s x.x.x.x -j DROPiptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP
4. 允许所有SSH的连接请求
例：允许所有来自外部的SSH连接请求，即只允许进入eth0接口，并且目标端口为22的数据包
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
5. 仅允许来自指定网络的SSH连接请求
例：仅允许来自于192.168.100.0/24域的用户的ssh连接请求
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
6.允许http和https的连接请求
例：允许所有来自web - http的连接请求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
例：允许所有来自web - https的连接请求
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
7. 使用multiport 将多个规则结合在一起
允许多个端口从外界连入，除了为每个端口都写一条独立的规则外，我们可以用multiport将其组合成一条规则。如下所示：  例：允许所有ssh,http,https的流量访问
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
8. 允许从本地发起的SSH
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
请注意,这与允许ssh连入的规则略有不同。本例在OUTPUT链上，我们允许NEW和ESTABLISHED状态。在INPUT链上，我们只允许ESTABLISHED状态。ssh连入的规则与之相反。
9. 仅允许从本地发起到一个指定的网络域的SSH请求
例：仅允许从内部连接到网域192.168.100.0/24
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
10. 允许从本地发起的HTTPS连接请求
下面的规则允许输出安全的网络流量。如果你想允许用户访问互联网，这是非常有必要的。在服务器上，这些规则能让你使用wget从外部下载一些文件
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
注：对于HTTP web流量的外联请求，只需要将上述命令中的端口从443改成80即可。
11. 负载平衡传入的网络流量
使用iptables可以实现传入web流量的负载均衡，我们可以传入web流量负载平衡使用iptables防火墙规则。  例：使用iptables nth将HTTPS流量负载平衡至三个不同的ip地址。
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443
12. 允许外部主机ping内部主机
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
13. 允许内部主机ping外部主机
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
14. 允许回环访问
例：在服务器上允许127.0.0.1回环访问。
iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT
15. 允许内部网络域外部网络的通信
防火墙服务器上的其中一个网卡连接到外部，另一个网卡连接到内部服务器，使用以下规则允许内部网络与外部网络的通信。此例中，eth1连接到外部网络(互联网)，eth0连接到内部网络(例如:192.168.1.x)。
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
16. 允许出站的DNS连接
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPTiptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
17. 允许NIS连接
如果你使用NIS管理用户帐户，你需要允许NIS连接。如果你不允许NIS相关的ypbind连接请求，即使SSH连接请求已被允许，用户仍然无法登录。NIS的端口是动态的，先使用命令rpcinfo –p来知道端口号，此例中为853和850端口。  rpcinfo -p | grep ypbind  例：允许来自111端口以及ypbind使用端口的连接请求
iptables -A INPUT -p tcp --dport 111 -j ACCEPTiptables -A INPUT -p udp --dport 111 -j ACCEPTiptables -A INPUT -p tcp --dport 853 -j ACCEPTiptables -A INPUT -p udp --dport 853 -j ACCEPTiptables -A INPUT -p tcp --dport 850 -j ACCEPTiptables -A INPUT -p udp --dport 850 -j ACCEPT
注：当你重启ypbind之后端口将不同，上述命令将无效。有两种解决方案：1）使用你NIS的静态IP 2）编写shell脚本通过“rpcinfo - p”命令自动获取动态端口号,并在上述iptables规则中使用。
18. 允许来自指定网络的rsync连接请求
例：允许来自网络192.168.101.0/24的rsync连接请求
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
19. 允许来自指定网络的MySQL连接请求
很多情况下，MySQL数据库与web服务跑在同一台服务器上。有时候我们仅希望DBA和开发人员从内部网络（192.168.100.0/24）直接登录数据库，可尝试以下命令：
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
20. 允许Sendmail, Postfix邮件服务
Sendmail和postfix都使用了25端口，因此我们只需要允许来自25端口的连接请求即可。
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
21. 允许IMAP和IMAPS
例：允许IMAP/IMAP2流量，端口为143
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
例：允许IMAPS流量，端口为993
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
22. 允许POP3和POP3S
例：允许POP3访问
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
例：允许POP3S访问
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
23. 防止DoS攻击
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT上述例子中：-m limit: 启用limit扩展–limit 25/minute: 允许最多每分钟25个连接（根据需求更改）。–limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。
24. 端口转发
例：将来自422端口的流量全部转到22端口。  这意味着我们既能通过422端口又能通过22端口进行ssh连接。启用DNAT转发。
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22
除此之外，还需要允许连接到422端口的请求
iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT
25. 记录丢弃的数据表
第一步：新建名为LOGGING的链
iptables -N LOGGING
第二步：将所有来自INPUT链中的数据包跳转到LOGGING链中
iptables -A INPUT -j LOGGING
第三步：为这些包自定义个前缀，命名为”IPTables Packet Dropped”
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
第四步：丢弃这些数据包
iptables -A LOGGING -j DROP
防火墙 导入导出 
iptables-save  导出防火墙规则 
iptables-save >>/iptables.txt
iptables-restore 导入防火墙规则
iptables-restore iptables.txt
st独酌
关注
关注
点赞
收藏
评论
25个常用的防火墙规则之iptables
  本文将给出25个iptables常用规则示例，这些例子为您提供了些基本的模板，您可以根据特定需求对其进行修改调整以达到期望。  格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数  -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾...
复制链接
扫一扫
专栏目录
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能，参数，配置实例，例如:
ah-esp
condition
conntrack
fuzzy
iplimit
ipv4options
length
nth
pkttype
u32
等，基本全部模块。
iptables配置https防火墙策略
weixin_30426065的博客
06-10
846
需要两条规则：iptables -A INPUT -p tcp --dport 443 -j ACCEPT规则1用于放行客户端请求https服务的报文
转载于:https://www.cnblogs.com/rspb/p/4565396.html
参与评论
您还未登录，请先
登录
后发表或查看评论
iptables 开放 http https
weixin_34235105的博客
12-05
2089
2019独角兽企业重金招聘Python工程师标准>>>
...
25个iptables常用示例
最新发布
Free雅轩的博客
06-19
105
本文将给出25个iptables常用规则示例，这些例子为您提供了些基本的模板，您可以根据特定需求对其进行修改调整以达到期望。格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]参数-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK，加叹号"!"表示除这个IP外。
-d 匹配目标
iptables详解（图文）
热门推荐
Linux的成长历程
11-13
4万+
iptables简介
netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
iptables基础
规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、
Iptables应用
zt_96123的博客
02-12
389
一 、防火墙的分类
1 、包过滤防火墙。
数据包过滤(packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址，所用的端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过。
包过滤防火墙的优点是它对用户来说是透明的，处理速度快且易于维...
iptables 四表五链
努力搬砖ing...
08-27
297
文章目录1 什么是 iptables2 四表五链(重要)2.1 具体的四表2.2 具体的五链2.3 四表五链之间的关系3 iptables 语法参数3.1 iptables 语法格式3.2 iptables 常用参数4 常用实例
1 什么是 iptables
iptables 是 Linux 的防火墙管理工具而已，真正实现防火墙功能的是 Netfilter，我们配置了 iptables 规则后 Netfilter 通过这些规则来进行防火墙过滤等操作。
Netfilter 模块：
它是主要的工作模块，位于内核
iptables详解及一些常用规则
tpriwwq的专栏
06-19
2322
iptables功能及配置
iptables工作常用的案例
朱海燕的博客日记
04-10
821
iptables在企业中的作用？
Linux防火墙其实指的是Linux下的Netfilter/Iptables；Iptables在企业中还是应用得非常广泛的。那么，它究竟应用在哪些方面呢？
1)很多中小企业和网吧利用iptables来作企业的NAT路由器，传统的路由器供企业内部员工上网。
2)IDC机房的服务器可以用Iptables硬件防火墙作为主机的防护措施，由于部署硬件防火墙需要很大投资...
linux iptables实现单机多ip出口ip负载均衡(宽带叠加)
MyBlog
11-18
7246
环境：服务器配有：10.10.0.196/197/198/199 四个ip
希望：实现对外发送请求时，对方看到我的出口ip每次都是不一样的，四个ip轮训作为出口IP
方案：iptables的nth模块
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -p tcp --dport 443 -o eth0 -m st
iptables 流量均衡
liwei1567的博客
11-12
420
我们可以将一台服务器作为前端服务器，利用iptables进行流量分发，配置方法如下：
iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:80
iptables详解
Vincent's tech blog
06-11
1275
IPtables
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在 L...
Netfilter: 利用iptables进行负载均衡
深邃 精致 内涵 坚持
09-27
1万+
目的
1. 实现多个网络接口同时运作，完成多连接的真正并发，多个连接正在的同时访问网络
2. 实现负载均衡，有效扩展带宽增加吞吐量
9个常用iptables配置实例
eydwyz的专栏
11-11
2303
ptables命令可用于配置Linux的包过滤规则，常用于实现防火墙、NAT。咋一看iptables的配置很复杂，掌握规律后，其实用iptables完成指定任务并不难，下面我们通过具体实例，学习iptables的详细用法。
1.删除已有规则
在新设定iptables规则时，我们一般先确保旧规则被清除，用以下命令清除旧规则：
iptables -F
(or iptable
[linux网络] iptables+ip route 实现双线上网流量分割
系统运维
07-31
442
1 网络结构
a 内网机器
client1 : 192.168.28.20/24 gateway 192.168.28.1
client2 : 192.168.28.120/24 gateway 192.168.28.1
b 路由器
eth0 192.168.28.1/24
eth1 119.161.232.156/29 gateway 119.161.232.154
...
iptables的基本参数和简单使用方法
小陌成长之路
08-02
7525
iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。
OpenWRT/Linux多WAN带宽叠加使用iptables标记策略路由负载均衡
张同光 (Tongguang Zhang)：Hello everyone !
03-31
9534
OpenWRT/Linux多WAN带宽叠加使用iptables标记策略路由负载均衡
使用iptables实现软件防火墙
weixin_34238642的博客
09-19
123
iptables简介： iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则...
iptables的tcp扩展模块，multiport扩展模块
ystyaoshengting的专栏
11-11
5622
注意，与之前的选项不同，--dport前有两条"横杠"，而且，使用--dport选项时，必须事先指定了使用哪种协议，即必须先使用-p选项，示例如下
上图中，我们就使用了扩展匹配条件--dport，指定了匹配报文的目标端口，如果外来报文的目标端口为本机的22号端口（ssh默认端口），则拒绝之。
而在使用--dport之前，我们使用-m选项，指定了对应的扩展模块为tcp，也就是说，如果想要使用...
netfilter/iptables模块功能中文介绍
weixin_33733810的博客
09-11
65
功能介绍(每个info和help本是英文的,为方便阅读我把它翻译成中文,由于水平有限,如果有误请有经验者来信指正)获取最新patch-o-matic-ng的地址:[url]ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/[/url][root@kindgeorge src] wget[url]ftp://ftp....
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题：大白
设计师：CSDN官方博客
返回首页
st独酌
CSDN认证博客专家
CSDN认证企业博客
码龄8年
暂无认证
24
原创
4万+
周排名
35万+
总排名
31万+
访问
等级
2408
积分
23
粉丝
82
获赞
20
评论
233
收藏
私信
关注
热门文章
linux下安装yum命令
120840
【转】onclick事件没有反应的五种可能情况（前端）
20027
vscode的默认设置（配置）列表
10222
【转】你知道socket.io中connect事件和connection事件的区别吗?
8132
WITH GRANT OPTION的作用
7481
分类专栏
go
1篇
项目分层
3篇
编译器
4篇
测试
设计模式
1篇
java
40篇
tomcat
3篇
Java Script
7篇
mysql
9篇
JSON
2篇
项目
3篇
html5
6篇
node.js
17篇
npm
2篇
代码思路
3篇
缓存数据库
1篇
git
3篇
安装软件
5篇
入门基础
1篇
1篇
防火墙
5篇
数据库
5篇
java前端
7篇
XML
2篇
http
2篇
前端框架
3篇
长连接
3篇
linux
1篇
docker容器
5篇
最新评论
linux下安装yum命令
可乐pei咖啡:
图片看不见啊，老师
linux下安装yum命令
left and right:
运行 ./yummain.py update 后报错：
There are no enabled repos.
Run "yum repolist all" to see the repos you have.
You can enable repos with yum-config-manager --enable <repo>
DO与PO的区别
怪物规避守则:
真的很有用非常感谢
非常好用的Eclipse 反编译插件 Eclipse Class Decompiler 安装（JAVA插件）
LDG1998:
一些图片糊了
VO与DTO的区别
彭满心。:
这个说的简单点，查询的时候用VO，新增保存用DTO。比如：前端要查学生张三，后端返前端VO（代表张三的所有要展示的属性），这时候要修改张三的姓名，你只需要传张三id和张三姓名，后端DTO做接收就可以了
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
深入理解js原型和原型链（prototype chain）
go指针原理自我分析
es6新数据类型Symbol
2020年6篇
2019年15篇
2018年114篇
2017年11篇
目录
目录
分类专栏
go
1篇
项目分层
3篇
编译器
4篇
测试
设计模式
1篇
java
40篇
tomcat
3篇
Java Script
7篇
mysql
9篇
JSON
2篇
项目
3篇
html5
6篇
node.js
17篇
npm
2篇
代码思路
3篇
缓存数据库
1篇
git
3篇
安装软件
5篇
入门基础
1篇
1篇
防火墙
5篇
数据库
5篇
java前端
7篇
XML
2篇
http
2篇
前端框架
3篇
长连接
3篇
linux
1篇
docker容器
5篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。
余额充值