iptables常用命令
2015-11-19 15:05
363 查看
iptables一共4张表filter,其他表还有nat、raw、mangle查看filter表iptables -nvL查看nat表
iptables -t nat -nvL
清除nat表iptables -F -t natservice iptables save (改完表一定要保存不保存不生效,重启iptables失效)
配置服务项
利用iptables,我们可以对日常用到的服务项进行安全管理,比如设定只能通过指定网段、由指定网口通过SSH连接本机:
DoS攻击防范利用扩展模块limit,我们还可以配置iptables规则,实现DoS攻击防范:
iptables -t nat -nvL
清除nat表iptables -F -t natservice iptables save (改完表一定要保存不保存不生效,重启iptables失效)
配置服务项
利用iptables,我们可以对日常用到的服务项进行安全管理,比如设定只能通过指定网段、由指定网口通过SSH连接本机:
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLESHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT若要支持由本机通过SSH连接其他机器,由于在本机端口建立连接,因而还需要设置以下规则:
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state ESTABLESHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT类似的,对于HTTP/HTTPS(80/443)、pop3(110)、rsync(873)、MySQL(3306)等基于tcp连接的服务,也可以参照上述命令配置。端口转发配置对于端口,我们也可以运用iptables完成转发配置:
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22以上命令将422端口的包转发到22端口,因而通过422端口也可进行SSH连接,当然对于422端口,我们也需要像以上“4.配置服务项”一节一样,配置其支持连接建立的规则。
DoS攻击防范利用扩展模块limit,我们还可以配置iptables规则,实现DoS攻击防范:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT--litmit 25/minute 指示每分钟限制最大连接数为25--litmit-burst 100 指示当总连接数超过100时,启动 litmit/minute 限制
相关文章推荐
- Linux创建oracle11实例
- equals与==的区别
- struts2+spring的两种整合方式
- 自己设计自定义界面组件的注意事项
- 2009-08-11-有缘即住无缘去,一任清风送白云
- vim 打造IDE
- Python爬虫——爬取网站的图片
- 上传到hdfs文件所属问题
- Android使用特殊权限的一种代码实现
- resin的配置【转】
- Switch能否用String做参数
- 移动端报表如何实现离线查看报表功能
- java动态代理
- 转:拾起并拖拽物体(使用rigidbody.velocity)
- 最新邮箱匹配正则(邮箱前缀可包含"_")
- 在RedHat系统上安装JDK与Tomcat的步骤
- 黑马程序员日记-13
- android从零单排之百度地图的调用
- VisualStudio2010配置OpenCV的一种一劳永逸的方法
- php+mysql+pdo连接数据库