iptables 范例

iptables 范例

安全漏洞访客2021-10-12 9:39:003263A+A-

  1、语法:

  Usage:

  iptables -t [table] -[AD] chain rule-specification[options]

  2、基本的处理行为:

    ACCEPT(接受)、DROP(丢弃)、REJECT(拒绝)

  3、匹配指定协议外的所有协议

  iptables -A INPUT -p ! tcp

  匹配主机源IP

  iptables -A INPUT -s 10.0.0.14

  iptables -A INPUT -s ! 10.0.0.14

  匹配网段

  iptables -A INPUT -s 10.0.0.0/24

  iptables -A INPUT -s ! 10.0.0.0/24

  匹配单一端口

  iptables -A INPUT -p tcp –sport 53

  iptables -A INPUT -p udp –dport 53

  4、封端口:

  iptables -t filter -A INPUT -p tcp –dport 80 -j DROP

  (–sports 源端口)

  (22:80 端口范围)

  iptables -t filter -A INPUT -p tcp -m multiport  –dport 222,323 -j ACCEPT

  (-m multiport 列元素 222,323)

  5、 封ip :

  iptables -t filter -A    INPUT   -i eth0 -s 10.0.0.105 -j DROP

  -s 源地址

  -i 进  -o 出 指定网络接口

  6、禁ping

  iptables -t filter -A INPUT -p icmp –icmp-type 8   ! -s 10.10.70.0/24 -j DROP

  (!非)

  iptables -t filter -I INPUT  2 -p icmp –icmp-type any  -s 10.10.70.0/24 -j DROP            (any 所有类型)

  ( -I 2 指定位置)

  7、匹配网络状态:

  iptables -A INPUT  -m state –state ESTABLISHED,RELATED -j ACCEPT

  iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

  -m state –state:允许关联的状态包通过

  NEW:已经或将启动新的连接

  ESTABLISHED:已建立的连接

  RELATED:正在启动新连接

  INVALID:非法或无法识别的

  8、本机地址:

    
    172.16.14.1,允许172.16.0.0/16网络ping本机,但限制每分钟请求不能超过20,每次并发

  不能超过6个.

  iptables -A INPUT -s 172.16.0.0/16 -d 172.16.14.1 -p icmp –icmp-type 8 -m limit –limit 20/min –limit-burst 6 -j ACCEPT

  iptables -A OUTPUT -s 172.16.14.1 -d 172.16.0.0/16 -p icmp –icmp-type 0 -j ACCEPT

  -m limit

  –limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率,后面为时间分别为:秒、分、时

  –limit-burst [n]:在同一时间内允许通过的请求"n"为数字,不指定默认为5

  9、自定义链处理syn攻击

  iptables -N syn-flood

  iptables -A INPUT -i eth0 -syn -j syn-flood

  iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN

  iptables -A syn-flood -j DROP

  10、网关服务器配置端口地址转换

  iptables -t nat -A PREROUTING -d 192.168.1.9 -p tcp –dport 80 -j DNAT –to-destination 10.10.70.60:9000

  11、配置网关:

  server 1 :eht0 10.10.70.60 eth1 192.168.1.10

  server 2 : eth0 192.168.1.9

  开启路由转发:

  sed -n "s/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g" /etc/sysctl.conf

  sysctl  -p

  清除配置:

  iptables -F

  iptables -Z

  iptables -X

  开启FORWORD  :  iptables -P    FORWARD ACCEPT

  查看是否有配置内核模块:lsmod | grep nat,如无,请加载。

  配置:

  iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0-j SNAT –to-source 10.10.60.10

  或:

  iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE  伪装

  12、映射多个外网IP上网

  iptables -t nat -A POSTROUTING -s 10.0.0.0/255.255.240.0 -o eth0 -j SNAT –to-source 124.42.60.11-124.42.60.16

  iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -o eth0 -j SNAT –to-source 124.42.60.103-124.42.60.106

    文章来源:http://hiboyandhigirl.blog.51cto.com/9150052/1598252

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 莣萳羞稚2022-05-28 06:03:07
  •   9、自定义链处理syn攻击  iptables -N syn-flood  iptables -A INPUT -i eth0 -syn -j syn-flood  iptables -A syn-flood -m limit -limit 5000/s
  • 南殷月棠2022-05-28 01:32:07
  • PT  -m state –state:允许关联的状态包通过  NEW:已经或将启动新的连接  ESTABLISHED:已建立的连接  RELATED:正在启动新连接  INVALID:非法或无法识别的  8、本机地址:      
  • 惑心春慵2022-05-28 03:44:02
  • –sport 53  iptables -A INPUT -p udp –dport 53  4、封端口:  iptables -t filter -A INPUT -p tcp –dport 80 -j DROP  (–sport

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理