iptablesファイアウォールの構成
iptablesは3つのテーブルを操作し、それぞれいくつかのサブチェーンがあります.
mangleテーブル、natテーブル、filterテーブル.
ファイアウォールはfilter表を使用し、最もよく使われる表でもあり、3つのサブチェーンがある:INPUT、OUTPUT、FOrWARD.
表示コマンド:
iptables -L -n -v --line-numbers
特殊なテーブルに対して、-tパラメータ-tを使用すると、デフォルトでfilterテーブルが使用されます.
クリアコマンド:
iptables -F
ユーザー定義チェーンを作成するには、次の手順に従います.
iptables -N
ユーザー定義チェーンを削除するには、次の手順に従います.
iptables -X
ルール、追加、変更、削除:
INPUTチェーンにdropルールを追加
だからあなたが本機からpingに行くと、74.125も受け取れません.71.103の応答.
# ping 74.125.71.103
さっきの拒否ルールを削除します
受け入れルールが追加されている場合もpingパスです
mangleテーブル、natテーブル、filterテーブル.
ファイアウォールはfilter表を使用し、最もよく使われる表でもあり、3つのサブチェーンがある:INPUT、OUTPUT、FOrWARD.
表示コマンド:
iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 3002 packets, 138K bytes)
num pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 3051 packets, 1606K bytes)
num pkts bytes target prot opt in out source destination
特殊なテーブルに対して、-tパラメータ-t
クリアコマンド:
iptables -F
ユーザー定義チェーンを作成するには、次の手順に従います.
iptables -N
ユーザー定義チェーンを削除するには、次の手順に従います.
iptables -X
ルール、追加、変更、削除:
Usage: iptables -[ACD] chain rule-specification [options]
iptables -I chain [rulenum] rule-specification [options]
iptables -D chain rulenum [options]
INPUTチェーンにdropルールを追加
iptables -A INPUT -s 74.125.71.103 -j DROP
この時点ではすべて74.125から来ている.71.103のバッグはすべて破棄され、だからあなたが本機からpingに行くと、74.125も受け取れません.71.103の応答.
# ping 74.125.71.103
さっきの拒否ルールを削除します
iptables -D INPUT 1
は今pingが通じます.受け入れルールが追加されている場合もpingパスです
iptables -A INPUT -s 74.125.71.103 -j ACCEPT
, ,
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-mは ステータスを し、--stateは するステータスを します.
を する172.16.73.25で8000ポートを iptables -A INPUT -p tcp -s 172.16.73.25 --dport 8000 -j DROP
のあるウェブサイトへの を する74.125.71.108iptables -A OUTPUT -p tcp -d 74.125.71.103 -j DROP
ポートシーケンスを く7000:7010iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
のmacアドレスへのアクセスを iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
:
http://cloud.csdn.net/a/20120117/310905.html
http://os.51cto.com/art/201103/249398.htm