位置: 编程技术 - 正文
iptables防火墙只允许指定ip连接指定端口、访问指定网站(iptables防火墙规则)
编辑:rootadmin推荐整理分享iptables防火墙只允许指定ip连接指定端口、访问指定网站(iptables防火墙规则),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:iptables防火墙开放端口,iptable防火墙关闭,iptables防火墙开放端口,防火墙 iptables,简述iptables防火墙工作原理,iptables防火墙开放端口,简述iptables防火墙工作原理,iptables网络防火墙的链,内容如对您有帮助,希望把文章链接给更多的朋友!
需要开端口,指定IP和局域网
下面三行的意思:
先关闭所有的端口
开启ip段..1.0/端的口
开启ip段.../端ip段的口
# iptables -I INPUT -p tcp --dport -j DROP # iptables -I INPUT -s ..1.0/ -p tcp --dport -j ACCEPT# iptables -I INPUT -s .../ -p tcp --dport -j ACCEPT
以上是临时设置。
1.先备份iptables
# cp /etc/sysconfig/iptables /var/tmp
2.然后保存iptables
# service iptables save
3.重启防火墙
#service iptables restart
以下是端口,先全部封再开某些的IP
iptables -I INPUT -p tcp --dport -j DROPiptables -I INPUT -s ..1.0/ -p tcp --dport -j ACCEPT如果用了NAT转发记得配合以下才能生效
iptables -I FORWARD -p tcp --dport -j DROPiptables -I FORWARD -s ..1.0/ -p tcp --dport -j ACCEPT
常用的IPTABLES规则如下:
只能收发邮件,别的都关闭iptables -I Filter -m mac --mac-source :0F:EA::: -j DROPiptables -I Filter -m mac --mac-source :0F:EA::: -p udp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0F:EA::: -p tcp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0F:EA::: -p tcp --dport -j ACCEPT
IPSEC NAT 策略iptables -I PFWanPriv -d ...2 -j ACCEPTiptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:
iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:
iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:
iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:
iptables -t nat -A PREROUTING -p udp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...2:
FTP服务器的NATiptables -I PFWanPriv -p tcp --dport -d ... -j ACCEPTiptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:
只允许访问指定网址iptables -A Filter -p udp --dport -j ACCEPTiptables -A Filter -p tcp --dport -j ACCEPTiptables -A Filter -d www..org -j ACCEPTiptables -A Filter -d img.cn.com -j ACCEPTiptables -A Filter -j DROP
开放一个IP的一些端口,其它都封闭iptables -A Filter -p tcp --dport -s ... -d www.pconline.com.cn -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -s ... -j ACCEPTiptables -A Filter -p tcp --dport -j ACCEPTiptables -A Filter -p udp --dport -j ACCEPTiptables -A Filter -j DROP
多个端口iptables -A Filter -p tcp -m multiport --destination-port ,,, -s ...3 -j REJECT
连续端口iptables -A Filter -p tcp -m multiport --source-port ,,, -s ...3 -j REJECT iptables -A Filter -p tcp --source-port 2: -s ...3 -j REJECT
指定时间上网iptables -A Filter -s ... -m time --timestart 6: --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROPiptables -A Filter -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPTiptables -A Filter -m time --timestart : --timestop 8: --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
禁止多个端口服务iptables -A Filter -m multiport -p tcp --dport ,, -j ACCEPT
将WAN 口NAT到PCiptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination ..0.1
将WAN口端口NAT到。。。的端口iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:
MAIL服务器要转的端口iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:iptables -t nat -A PREROUTING -p tcp --dport -d $INTERNET_ADDR -j DNAT --to-destination ...:
只允许PING 。。。,别的服务都禁止iptables -A Filter -p icmp -s ... -d ... -j ACCEPTiptables -A Filter -j DROP
禁用BT配置iptables –A Filter –p tcp –dport : –j DROP
禁用QQ防火墙配置iptables -A Filter -p udp --dport ! -j DROPiptables -A Filter -d ...0/ -j DROPiptables -A Filter -d ...0/ -j DROPiptables -A Filter -d ... -j DROP
基于MAC,只能收发邮件,其它都拒绝iptables -I Filter -m mac --mac-source :0A:EB:::A1 -j DROPiptables -I Filter -m mac --mac-source :0A:EB:::A1 -p tcp --dport -j ACCEPTiptables -I Filter -m mac --mac-source :0A:EB:::A1 -p tcp --dport -j ACCEPT
禁用MSN配置iptables -A Filter -p udp --dport 9 -j DROPiptables -A Filter -p tcp --dport -j DROPiptables -A Filter -p tcp --dport -d ... -j DROPiptables -A Filter -p tcp --dport -d ...0/ -j DROP
只允许PING 。。。 其它公网IP都不许PINGiptables -A Filter -p icmp -s ... -d ... -j ACCEPTiptables -A Filter -p icmp -j DROP
禁止某个MAC地址访问internet:iptables -I Filter -m mac --mac-source :::8F::F8 -j DROP
禁止某个IP地址的PING:iptables –A Filter –p icmp –s ..0.1 –j DROP
禁止某个IP地址服务:iptables –A Filter -p tcp -s ..0.1 --dport -j DROPiptables –A Filter -p udp -s ..0.1 --dport -j DROP
只允许某些服务,其他都拒绝(2条规则)iptables -A Filter -p tcp -s ..0.1 --dport -j ACCEPTiptables -A Filter -j DROP
禁止某个IP地址的某个端口服务iptables -A Filter -p tcp -s ... --dport -j ACCEPTiptables -A Filter -p tcp -s ... --dport -j DROP
禁止某个MAC地址的某个端口服务
iptables -I Filter -p tcp -m mac --mac-source :::8F::F8 --dport -j DROP
禁止某个MAC地址访问internet:iptables -I Filter -m mac --mac-source ::::: -j DROP
禁止某个IP地址的PING:iptables –A Filter –p icmp –s ..0.1 –j DROP
epel源报错解决汇总 当我在有些VPS或者服务器上安装epel源以后,发现会报下面的这种错误:Error:Cannotretrievemetalinkforrepository:epel.Pleaseverifyitspathandtryagain原因是某epel的镜像节
Linux中使用cpulimit限制进程的cpu使用率 很用Linux时可能大家经常发现莫名其妙就变的非常慢,这时多半是后台进程使用的cpu和内存太多了。如何限制每个进程的cpu使用资源呢?可以使用cpulimit
fcntl函数的说明与实例 (文件加锁) 对文件加锁是原子性的,可以用于进程间文件操作的同步。在linux下,有三个函数可以对文件进程加锁,分别是fcntl、flock、lockf。这里只说fcntl,它的用
标签: iptables防火墙规则
本文链接地址:https://www.jiuchutong.com/biancheng/368218.html 转载请保留说明!
