Linux防火墙iptables简明教程.docx

Linux防火墙iptables简明教程.docx

《Linux防火墙iptables简明教程.docx》由会员分享，可在线阅读，更多相关《Linux防火墙iptables简明教程.docx（2页珍藏版）》请在冰点文库上搜索。

Linux防火墙iptables简明教程

Linux防火墙iptables简明教程

　　linux下常见的防火墙iptables的一些内容，但是无奈网上的很多教程都较为繁琐，本着简明化学习的目的，微魔为大家剔除了许多冗余的内容。

下面是小编跟大家分享的是Linux防火墙iptables简明教程，欢迎大家来阅读学习~　　Linux防火墙iptables简明教程　　1.安装iptables　　2.查看现有的iptables规则　　3.删除某iptables规则　　4.清除现有iptables规则　　5.创建规则　　6.设置开机启动　　7.保存iptables规则　　8.iptables在手动防CC攻击中的简单应用　　1.安装iptables　　很多Linux已经默认安装iptables，可使用后文的查看命令测试是否安装　　CentOS/RedHat下执行：

　　yuminstalliptablesDebian/Ubuntu下执行：

　　apt-getinstalliptables　　2.查看现有的iptables规则　　命令后面的line-number为显示行号（将规则一则一则输出，并显示行号），可选，方便后文的删除指令。

　　iptables-L-n--line-numbers　　3.删除某iptables规则　　例如，删除第12行的规则，行号可由之前的命令查看　　iptables-DINPUT12　　4.清除现有iptables规则　　iptables-F　　iptables-X　　iptables-Z　　5.创建规则　　a）.开放端口　　命令iptables-AINPUT-jREJECT将屏蔽其他未授权的端口，因此请务必开放22端口以保障SSH连接正常~　　复制代码代码如下:

　　#允许本机访问　　iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT　　#允许已建立的或相关连的通行　　iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT　　#允许所有本机向外的访问　　iptables-AOUTPUT-jACCEPT　　#允许访问22端口　　iptables-AINPUT-ptcp--dport22-jACCEPT　　#允许访问80端口　　iptables-AINPUT-ptcp--dport80-jACCEPT　　#允许FTP服务的21和20端口　　iptables-AINPUT-ptcp--dport21-jACCEPT　　iptables-AINPUT-ptcp--dport20-jACCEPT　　#如果有其他端口的话，规则也类似，稍微修改上述语句就行　　#禁止其他未允许的规则访问　　iptables-AINPUT-jREJECT　　iptables-AFORWARD-jREJECT　　b）.屏蔽ip　　iptables-IINPUT-s123.123.123.123-jDROP可通过更换上述ip为ip段来达到屏蔽ip段的目的~　　若需屏蔽整个ip段（123.0.0.1到123.255.255.254）则换为123.0.0.0/8　　若需屏蔽ip段123.123.0.1到123.123.255.254，则换为124.123.0.0/16　　若需屏蔽ip段123.123.123.1到123.123.123.254则换为123.123.123.0/24　　6.设置开机启动　　一般在安装iptables完成后，开机启动会自动设置成功，但在个别CentOS系统上，貌似还有些问题，可以使用如下命令手动设置　　chkconfig--level345iptableson　　7.保存iptables规则　　serviceiptablessave　　8.iptables在手动防CC攻击中的简单应用　　关于获取攻击者ip的方法，可以通过很多方法获取，如查看网站日志等，本文不再赘述。

　　a）.建立要屏蔽的ip/ip段文件，名为ip.txt　　#屏蔽的ip　　123.4.5.6　　#屏蔽的ip段（编写方法，同前文）　　123.4.5.6/24b）.建立block_ip.sh脚本文件　　复制代码代码如下:

　　#!

/bin/sh　　#Filename:

block_ip.sh　　#Purpose:

blocksallIPaddress/networkfoundinatextfile　　#ThetextfilemusthaveoneIPaddressornetworkperline　　#################################################################　　#Changethefollowingpath/filenametomatchyours　　IP_LIST_FILE=/path/to/ip.txt　　#################################################################　　#Don'tchangeanythingbelowunlessyouareasmartypant!

　　#################################################################　　IPTABLES_BIN=/sbin/iptables　　#GettheIPADDR_LIST　　do　　echo-n"Blocking$i...";　　$IPTABLES_BIN-AINPUT-s$i-jDROP　　$IPTABLES_BIN-AOUTPUT-d$i-jDROP　　echo"DONE.";　　done　　##################################################################　　#ENDOFSCRIPT-NOTHINGTOSEEHERE-THAT'SALLFOLKS!

　　##################################################################　　c）.运行脚本　　sh/path/to/block_ip.sh　　d）.查看iptables规则是否生效/正确，这一步的命令，之前有提到哦，开动脑筋，实在忘了，点击此处~