专栏名称: Linux爱好者
伯乐在线旗下账号,「Linux爱好者」专注分享 Linux/Unix 相关内容,包括:工具资源、使用技巧、课程书籍等。
目录
相关文章推荐
51好读  ›  专栏  ›  Linux爱好者

25 个常用的 Linux iptables 规则

Linux爱好者  · 公众号  · linux  · 2017-04-25 20:57

正文

(点击 上方公众号 ,可快速关注)


编译: 伯乐在线 - 伯小乐

如有好文章投稿,请点击 → 这里了解详情


一些常用的 Linux iptables 规则,请根据自己的具体需要再修改。



# 1. 删除所有现有规则


iptables -F


# 2. 设置默认的 chain 策略


iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP


# 3. 阻止某个特定的 IP 地址


#BLOCK_THIS_IP="x.x.x.x"

#iptables -A INPUT -s "$BLOCK_THIS_IP" -j DRO


# 4. 允许全部进来的(incoming)SSH


iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT


# 5. 只允许某个特定网络进来的 SSH


#iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

#iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT


# 6. 允许进来的(incoming)HTTP


iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT


# 7. 多端口(允许进来的 SSH、HTTP 和 HTTPS)


iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT


# 8. 允许出去的(outgoing)SSH


iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT


# 9. 允许外出的(outgoing)SSH,但仅访问某个特定的网络


#iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT


# 10. 允许外出的(outgoing) HTTPS


iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT


# 11. 对进来的 HTTPS 流量做负载均衡


#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443

#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443

#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443


# 12. 从内部向外部 Ping


iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT


# 13. 从外部向内部 Ping


iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT


# 14. 允许环回(loopback)访问


iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT







请到「今天看啥」查看全文


推荐文章
市界  ·  美国如何拍抗日剧
8 年前
一条  ·  颜美手感好,还能给你“啪啪啪”的快感
8 年前
咋整  ·  你是否能读懂人性?
8 年前
热门电影图解  ·  我们一直低估梁家辉的另一面
7 年前
吴声计事  ·  东吴计算机【行业事件点评:勒索病毒大规模传播,网络安全战引发全球重视】
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!