--服务重启 /etc/init.d/iptables stop /etc/init.d/iptables start --查看防火墙配置 # iptables -L -n # iptables -L -nv --新加的策略加载第5,6条 iptables -I INPUT 5 -p tcp --dport 23 -s 192.168.2.0/24 -j ACCEPT iptables -I INPUT 6 -p tcp --dport 23 -j DROP --修改后保存 /etc/init.d/iptables save --删除第六条策略 iptables -D INPUT 6 iptables -F 清空所有规则 参数∶ -F ∶清除所有的已订定的规则; -X ∶杀掉所有使用者 '自订' 的 chain (应该说的是 tables )棉; -Z ∶将所有的 chain 的计数与流量统计都归零 iptables -I INPUT 7 -s 192.168.2.200 -j LOG [root@rhel62 yum.repos.d]# iptables -I INPUT 7 -s 192.168.2.200 -d 192.168.2.1 -p tcp --dport 12345 --sport 12346 -j LOG [root@rhel62 yum.repos.d]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:23 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 LOG tcp -- 192.168.2.200 192.168.2.1 tcp spt:12346 dpt:12345 LOG flags 0 level 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination 范例一∶想要连线进入本机 port 21 的封包都抵挡掉∶ [root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP 范例二∶想连到我这部主机的网 (upd port 137,138 tcp port 139,445) 就放行 [root@linux ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT [root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT [root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT 例如∶只要来自 192.168.1.0/24 的 1024:65535 埠口的封包, 只要想要连线到本机的 ssh port 就予以抵挡,可以这样做∶ [root@linux ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65534 --dport ssh -j DROP 注意啊!如果你有使用到 --sport 及 --dport 的参数时,就必须指定 udp 或 tcp 的封包格式才行! 否则的话, iptables 的指令就会出现如下的错误∶ [root@linux ~]# iptables -A INPUT -i eth0 --dport 21 -j DROP iptables v1.2.11: Unknown arg `--dport' Try `iptables -h' or 'iptables --help' for more information. 范例∶将来自任何地方来源 port 1:1023 的主动连线到本机端的 1:1023 连线丢弃 -A 附加在table的后面 [root@linux ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 --dport 1:1023 --syn -j DROP |
|
来自: zjycy > 《FreeBsd/linux》