Linux防火墙iptables简明教程.docx
《Linux防火墙iptables简明教程.docx》由会员分享,可在线阅读,更多相关《Linux防火墙iptables简明教程.docx(2页珍藏版)》请在冰点文库上搜索。
Linux防火墙iptables简明教程
Linux防火墙iptables简明教程
linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容。
下面是小编跟大家分享的是Linux防火墙iptables简明教程,欢迎大家来阅读学习~ Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存iptables规则 8.iptables在手动防CC攻击中的简单应用 1.安装iptables 很多Linux已经默认安装iptables,可使用后文的查看命令测试是否安装 CentOS/RedHat下执行:
yuminstalliptablesDebian/Ubuntu下执行:
apt-getinstalliptables 2.查看现有的iptables规则 命令后面的line-number为显示行号(将规则一则一则输出,并显示行号),可选,方便后文的删除指令。
iptables-L-n--line-numbers 3.删除某iptables规则 例如,删除第12行的规则,行号可由之前的命令查看 iptables-DINPUT12 4.清除现有iptables规则 iptables-F iptables-X iptables-Z 5.创建规则 a).开放端口 命令iptables-AINPUT-jREJECT将屏蔽其他未授权的端口,因此请务必开放22端口以保障SSH连接正常~ 复制代码代码如下:
#允许本机访问 iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT #允许已建立的或相关连的通行 iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT #允许所有本机向外的访问 iptables-AOUTPUT-jACCEPT #允许访问22端口 iptables-AINPUT-ptcp--dport22-jACCEPT #允许访问80端口 iptables-AINPUT-ptcp--dport80-jACCEPT #允许FTP服务的21和20端口 iptables-AINPUT-ptcp--dport21-jACCEPT iptables-AINPUT-ptcp--dport20-jACCEPT #如果有其他端口的话,规则也类似,稍微修改上述语句就行 #禁止其他未允许的规则访问 iptables-AINPUT-jREJECT iptables-AFORWARD-jREJECT b).屏蔽ip iptables-IINPUT-s123.123.123.123-jDROP可通过更换上述ip为ip段来达到屏蔽ip段的目的~ 若需屏蔽整个ip段(123.0.0.1到123.255.255.254)则换为123.0.0.0/8 若需屏蔽ip段123.123.0.1到123.123.255.254,则换为124.123.0.0/16 若需屏蔽ip段123.123.123.1到123.123.123.254则换为123.123.123.0/24 6.设置开机启动 一般在安装iptables完成后,开机启动会自动设置成功,但在个别CentOS系统上,貌似还有些问题,可以使用如下命令手动设置 chkconfig--level345iptableson 7.保存iptables规则 serviceiptablessave 8.iptables在手动防CC攻击中的简单应用 关于获取攻击者ip的方法,可以通过很多方法获取,如查看网站日志等,本文不再赘述。
a).建立要屏蔽的ip/ip段文件,名为ip.txt #屏蔽的ip 123.4.5.6 #屏蔽的ip段(编写方法,同前文) 123.4.5.6/24b).建立block_ip.sh脚本文件 复制代码代码如下:
#!
/bin/sh #Filename:
block_ip.sh #Purpose:
blocksallIPaddress/networkfoundinatextfile #ThetextfilemusthaveoneIPaddressornetworkperline ################################################################# #Changethefollowingpath/filenametomatchyours IP_LIST_FILE=/path/to/ip.txt ################################################################# #Don'tchangeanythingbelowunlessyouareasmartypant!
################################################################# IPTABLES_BIN=/sbin/iptables #GettheIPADDR_LIST do echo-n"Blocking$i..."; $IPTABLES_BIN-AINPUT-s$i-jDROP $IPTABLES_BIN-AOUTPUT-d$i-jDROP echo"DONE."; done ################################################################## #ENDOFSCRIPT-NOTHINGTOSEEHERE-THAT'SALLFOLKS!
################################################################## c).运行脚本 sh/path/to/block_ip.sh d).查看iptables规则是否生效/正确,这一步的命令,之前有提到哦,开动脑筋,实在忘了,点击此处~