iptablesアクセスポリシーノート
2424 ワード
iptables
-tテーブル名(デフォルトはfilter)-Aチェーン名(このチェーンの末尾にappend追加ポリシー)-Iチェーン名数値-I(insert)挿入チェーンがあります.数値を付けない場合は、デフォルトでは、書かれたポリシーをテーブル内のすべてのポリシーの前に追加しますが、対応する行に挿入するように指定します.私たちはこのようにIptables–t filter–I INPUT 2......ここで2番目のマッチング条件に挿入することができます:-iネットワークカードパケットが入ったネットワークカード-oネットワークカードから出た-s ipソースip-d ip目的ip-pプロトコル--dportポート番号のポート番号--sportポート番号のソースポート番号動作:ACCEPT:ポリシーを満たすのパケットはDROP:パケットを破棄することを許可して、しかもいかなる情報REJECT:パケットを破棄しないで、しかし拒否の情報LOGを返します:通過したパケットをログの中に書きます(1人の警備員が入った人を登録することに相当します)本機のiptablesの情況iptables -L -n --line-number
#
chkconfig iptables on
#
chkconfig iptables off
直ちに発効し、システムを再起動した後に紛失した設定#
service iptables start
#
service iptables stop
WEB , 80 .
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
, 25,110 .
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
FTP , 21
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
DNS , 53
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
, , .
INPUT , , DROP
icmp , ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT DROP )
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT DROP )
loopback!( DNS )
IPTABLES -A INPUT -i lo -p all -j ACCEPT ( INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT( OUTPUT DROP)
192.168.0.3の機器のみSSH接続を許可[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
許可する場合、または制限するIPアドレスは192.168.0.0/24で192.168.0.1-255端のすべてのIPを表すことができる.
24はサブネットマスク数を示します
iptables -D INPUT 1 # INPUT 1
iptables -t filter -P INPUT DROP # filter INPUT