iptables防火墙只允许指定ip连接指定端口、访问指定网站(iptables防火墙规则)

推荐整理分享iptables防火墙只允许指定ip连接指定端口、访问指定网站(iptables防火墙规则)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:iptables防火墙开放端口,iptable防火墙关闭,iptables防火墙开放端口,防火墙 iptables,简述iptables防火墙工作原理,iptables防火墙开放端口,简述iptables防火墙工作原理,iptables网络防火墙的链,内容如对您有帮助，希望把文章链接给更多的朋友！

需要开端口，指定IP和局域网

下面三行的意思：

先关闭所有的端口

开启ip段..1.0/端的口

开启ip段.../端ip段的口

# iptables -I INPUT -p tcp --dport -j DROP # iptables -I INPUT -s ..1.0/ -p tcp --dport -j ACCEPT# iptables -I INPUT -s .../ -p tcp --dport -j ACCEPT

以上是临时设置。

1.先备份iptables

# cp /etc/sysconfig/iptables /var/tmp

2.然后保存iptables

# service iptables save

3.重启防火墙

#service iptables restart

以下是端口，先全部封再开某些的IP

iptables -I INPUT -p tcp --dport -j DROPiptables -I INPUT -s ..1.0/ -p tcp --dport -j ACCEPT如果用了NAT转发记得配合以下才能生效

iptables -I FORWARD -p tcp --dport -j DROPiptables -I FORWARD -s ..1.0/ -p tcp --dport -j ACCEPT

常用的IPTABLES规则如下：

只能收发邮件，别的都关闭iptables -I Filter -m mac --mac-source :0F:EA::: -j DROPiptables -I Filter -m mac --mac-source :0F:EA::: -p udp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0F:EA::: -p tcp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0F:EA::: -p tcp --dport -j ACCEPT

IPSEC NAT 策略iptables -I PFWanPriv -d ...2 -j ACCEPTiptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:

iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:

iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:

iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:

iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:

FTP服务器的NATiptables -I PFWanPriv -p tcp --dport -d ... -j ACCEPTiptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:

只允许访问指定网址iptables -A Filter -p udp --dport -j ACCEPTiptables -A Filter -p tcp --dport -j ACCEPTiptables -A Filter -d www..org -j ACCEPTiptables -A Filter -d img.cn.com -j ACCEPTiptables -A Filter -j DROP

开放一个IP的一些端口，其它都封闭iptables -A Filter -p tcp --dport -s ... -d www.pconline.com.cn -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -j ACCEPTiptables -A Filter -p udp --dport -j ACCEPTiptables -A Filter -j DROP

多个端口iptables -A Filter -p tcp -m multiport --destination-port ,,, -s ...3 -j REJECT

连续端口iptables -A Filter -p tcp -m multiport --source-port ,,, -s ...3 -j REJECT iptables -A Filter -p tcp --source-port 2: -s ...3 -j REJECT

指定时间上网iptables -A Filter -s ... -m time --timestart 6: --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROPiptables -A Filter -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPTiptables -A Filter -m time --timestart : --timestop 8: --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

禁止多个端口服务iptables -A Filter -m multiport -p tcp --dport ,, -j ACCEPT

将WAN 口NAT到PCiptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination ..0.1

将WAN口端口NAT到。。。的端口iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:

MAIL服务器要转的端口iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:

只允许PING 。。。,别的服务都禁止iptables -A Filter -p icmp -s ... -d ... -j ACCEPTiptables -A Filter -j DROP

禁用BT配置iptables –A Filter –p tcp –dport : –j DROP

禁用QQ防火墙配置iptables -A Filter -p udp --dport ! -j DROPiptables -A Filter -d ...0/ -j DROPiptables -A Filter -d ...0/ -j DROPiptables -A Filter -d ... -j DROP

基于MAC，只能收发邮件，其它都拒绝iptables -I Filter -m mac --mac-source :0A:EB:::A1 -j DROPiptables -I Filter -m mac --mac-source :0A:EB:::A1 -p tcp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0A:EB:::A1 -p tcp --dport -j ACCEPT

禁用MSN配置iptables -A Filter -p udp --dport 9 -j DROPiptables -A Filter -p tcp --dport -j DROPiptables -A Filter -p tcp --dport -d ... -j DROPiptables -A Filter -p tcp --dport -d ...0/ -j DROP

只允许PING 。。。 其它公网IP都不许PINGiptables -A Filter -p icmp -s ... -d ... -j ACCEPTiptables -A Filter -p icmp -j DROP

禁止某个MAC地址访问internet:iptables -I Filter -m mac --mac-source :::8F::F8 -j DROP

禁止某个IP地址的PING:iptables –A Filter –p icmp –s ..0.1 –j DROP

禁止某个IP地址服务：iptables –A Filter -p tcp -s ..0.1 --dport -j DROPiptables –A Filter -p udp -s ..0.1 --dport -j DROP

只允许某些服务，其他都拒绝(2条规则)iptables -A Filter -p tcp -s ..0.1 --dport -j ACCEPTiptables -A Filter -j DROP

禁止某个IP地址的某个端口服务iptables -A Filter -p tcp -s ... --dport -j ACCEPTiptables -A Filter -p tcp -s ... --dport -j DROP

禁止某个MAC地址的某个端口服务

iptables -I Filter -p tcp -m mac --mac-source :::8F::F8 --dport -j DROP

禁止某个MAC地址访问internet:iptables -I Filter -m mac --mac-source ::::: -j DROP

禁止某个IP地址的PING:iptables –A Filter –p icmp –s ..0.1 –j DROP

epel源报错解决汇总 当我在有些VPS或者服务器上安装epel源以后，发现会报下面的这种错误：Error:Cannotretrievemetalinkforrepository:epel.Pleaseverifyitspathandtryagain原因是某epel的镜像节

Linux中使用cpulimit限制进程的cpu使用率 很用Linux时可能大家经常发现莫名其妙就变的非常慢，这时多半是后台进程使用的cpu和内存太多了。如何限制每个进程的cpu使用资源呢？可以使用cpulimit

fcntl函数的说明与实例 (文件加锁) 对文件加锁是原子性的，可以用于进程间文件操作的同步。在linux下，有三个函数可以对文件进程加锁，分别是fcntl、flock、lockf。这里只说fcntl，它的用