Linux安全之——Ubuntu的iptable命令使用
2015-11-25 14:09
429 查看
设置开机自动启动iptables
# sysv-rc-conf --level 2345 iptables on
列出当前iptables的策略和规则
# iptables -L -n
允许已经建立的连接收数据
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
开放22号端口(SSH的默认端口),告诉iptables,允许接受到的所有目标端口为22的 TCP报文通过
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT // 注:ssh代表22,可以在/etc/services中查到的服务都可以这样使用
链策略的默认值是:ACCEPT。
表:filter (默认),nat,mangle。
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP
----------------------------------------------------
root@patrick:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
----------------------------------------------------
启动包转发功能
将内网的FTP请求转发到外网的一个主机上。
# iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT --to-dest 10.25.1.7:21
查看:
# iptables -L -t nat
要实现包转发,还需要编辑内核参数。
# cat /proc/sys/net/ipv4/ip_forward
0
默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf,然后执行sysctl -p。
# pre-up iptables-restore < /etc/iptables.up.rules // step 2) 开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。
禁用防火墙
# iptables -F
似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables(防火墙)。
使用前,请保证规则已经备份在文件中。
# sysv-rc-conf --level 2345 iptables on
列出当前iptables的策略和规则
# iptables -L -n
允许已经建立的连接收数据
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
开放22号端口(SSH的默认端口),告诉iptables,允许接受到的所有目标端口为22的 TCP报文通过
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT // 注:ssh代表22,可以在/etc/services中查到的服务都可以这样使用
添加策略。策略也是一种规则,当所有规则都不匹配时,使用链的“策略”
链:INPUT, PREROUTING, FORWARD, POSTROUTING, OUTPUT链策略的默认值是:ACCEPT。
表:filter (默认),nat,mangle。
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP
----------------------------------------------------
root@patrick:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
----------------------------------------------------
启动包转发功能
将内网的FTP请求转发到外网的一个主机上。
# iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT --to-dest 10.25.1.7:21
查看:
# iptables -L -t nat
要实现包转发,还需要编辑内核参数。
# cat /proc/sys/net/ipv4/ip_forward
0
默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf,然后执行sysctl -p。
保存iptables的规则
# iptables-save > /etc/iptables.up.rules // step 1) 保存当前iptables的规则到文件中。# pre-up iptables-restore < /etc/iptables.up.rules // step 2) 开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。
禁用防火墙
# iptables -F
似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables(防火墙)。
使用前,请保证规则已经备份在文件中。
相关文章推荐
- Linux命令(2):crontab命令
- linux下GTK图形界面取消关闭按钮和最大化按钮代码
- Linux下数据库管理工具:DbNinja
- Linux free命令解释
- 解决play-1.4.0在linux或mac下提示No such file or directory的问题
- linux查看 php环境安装路径
- CentOS QtCreator无法调试的解决办法
- 解决linux VPS安装weblogic时碰到的显示问题Checking monitor: must be configured to display at least 256 colors
- Linux文件系统性能优化
- 安装arm-none-linux-gnueabi交叉编译器
- 使用SecureCRT远程登录Linux Ubuntu
- 虚拟机vmware10.0.0里设置Suse Linux Enterprise 11系统静态IP上网
- CentOS配置ssh无密码登录
- Linux之sed命令......
- Linux之awk命令......
- Linux下获得主机与域名-gethostbyname和gethostbyaddr
- 13款Linux运维比较实用的工具
- linux异步IO编程实例分析
- Linux AIO机制
- 新手centOS安装JDK