iptables使用范例詳解

黎明霜冷 2017-01-11

展開全文

示例；放行來自于172.16.0.0/16網(wǎng)絡的主機對本機ssh服務的請求；下面這個示例是一對出現(xiàn)的；

172.16.34.30允許所有來自172.16.0.0/16網(wǎng)段發(fā)送ssh服務的請求

iptables -A INPUT -s 172.16.0.0/16 -d 172.16.34.30 -p tcp --dport 22 -j ACCEPT

172.16.34.30主機的ssh服務，只允許響應給172.16.0.0/16這個網(wǎng)段

iptables -A OUPOUT -s 172.16.34.30 -d 172.16.0.0/16 -p tcp --sport 22 -j ACCEPT

設置默認策略，拒絕所有未知的服務，僅放行規(guī)則所匹配的服務

iptables -P INPUT DROP

iptables -P OUTPUT DROP

輸入這兩條件命令我的主機并沒有中斷，是因為上面事先寫好了兩條允許本機的ssh服務規(guī)則，所沒有中斷，但是本機的其它服務，別的主機是訪問不了的。

放行本機的80端口給172.16.0.0/16的所有地址訪問（這時明確了所有地址，因此在寫規(guī)則時源地址省略不寫，直接寫上目標地址即可）

iptables -A INPUT -d 172.16.34.30 -p tcp --dport 80 -j ACCEPT只寫這一條的話，訪問的報文可以進來，但是無法響應給客戶，因此還有寫一條響興給客戶端主機的規(guī)則

iptables -A OUTPUT -s 172.16.34.30 -p tcp --sport 80 -j ACCEPT此時的源地址是172.16.34.30是向客戶端主機響應

-p icmp

--icmp-type

8: ping請求 0：ping響應

例子：放行ping其它主機

iptables -A OUTPUT -s 172.16.100.7 -p icmp --icmp-type 8 -j ACCEPT

iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 0 -j ACCEPT

放行其它主機ping本機

iptables -A INPUT -d 172.16.100.1 -P icmp --icmp-type 8 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.7 -p icmp --icmp-type 0 -j ACCEPT

-p udp

--dport

--sport

放行本機的tftp服務：（還有兩條tcp的沒有寫）

iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.7 -p udp --dport 69 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.7 -d 172.16.0.0/16 -p udp --sport 69 -j ACCEPT

放行本機dns服務：（DNS總共有八條規(guī)則，還有tcp的四條沒有寫）

iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.7 -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.7 -d 172.16.0.0/16 -p udp --sport 53 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.7 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -d 172.16.100.7 -p udp --sport 53 -j ACCEPT

顯示擴展

規(guī)則命令；

iptables -D INPUT 2 表示刪除input鏈上的第二條規(guī)則記住如果刪除了第二條而原來的的第三條會自動變成第二條

iptables -I 插入規(guī)則

iptables -I INPUT 2 -i lo -j ACCEPT 表示將規(guī)則插入到第二行

iptables -R INPUT 1 -s 172.16.0.0/16 -d 172.16.34.30 -i eth0 -p tcp --dport 22 -j ACCEPT 完整替換第一條規(guī)則

明確規(guī)定172.16網(wǎng)段連接目標地址的22號服務必須從eth0網(wǎng)卡進來

iptables -S INPUT 顯示指定的鏈的規(guī)則

顯示擴展；必須明確指定的擴展模塊；

      -m 擴展模塊名稱 --專用選項1 --專用選項2
       multiport；多端口匹配，一次指定多個（15個以內(nèi)）離散端口
      --source-ports, 源端口
      --destinatil-ports 目標端口
      --ports
      示例；開放本機的22，80兩個端口;(由于這里一次性開放多個端口所有這里得使用-m選項)
      iptables -I INPUT -d 172.16.34.30 -p tcp -m multiport --dports 22,80 -j ACCEPT 這里只是input讓用戶可能發(fā)送請求而目標主機沒有得到響應，所有寫上一條output出站規(guī)則，已此來響應給客戶端口。（寫上這兩條規(guī)則前面寫的那兩條單獨寫的規(guī)則則可以刪除(這條規(guī)則用了 '-I' 選項插入規(guī)則 )，這樣也達到了規(guī)則優(yōu)化的效果）

iptables -I OUTPUT -s 172.16.34.30 -p tcp -m multiport --sports 22,80 -j ACCEPT

      iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP 本機通過這個eth0網(wǎng)卡進來的端口都被拒絕
      iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
      iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROPiptables -A INPUT -i eth0 -m multiport -p tcp --dports 3389,4899 -j DROP

      示例；允許本機的telnet服務給指定的主機ip
      iptables -A INPUT -d 172.16.34.30 -p tcp --dport 23 -m iprange --src-range 172.16.34.10-172.16.34.20 -j ACCEPT
      iptables -A OUTPUT -s 172.16.34.30 -p tcp --sport 23 -m iprange --dst-range 172.16.34.10-172.16.34.20 -j ACCEPT
      time；匹配指定時間范圍結(jié)束時間大于起始時間結(jié)束日期于于起始日期
      --datestart 起始日期 YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
      --datestop 結(jié)束日期 YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
      --timestart hh:mm[:ss] 起始時間
      --timestop hh:mm[:ss] 結(jié)束時間
      --weekdays day [Mon, Tue, Wed, Thu, Fri, Sat, Sun ]也可以是1-7 以周為日期格式做規(guī)則
      示例；限制本機901端口只允許在工作時間內(nèi)（周一至周五）的08點到18點才可訪問；
      iptables -A INPUT -d 172.16.34.30 -p tcp --dport 901 -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart 08:00:00 -timestop 18:00:00 -j ACCEPT
      由于做了限制客戶的進站訪問規(guī)則，因此客戶只有規(guī)定的工作日才能訪問，因此下面這條規(guī)則就可以簡寫。
      （服務器可以隨時放行用戶的請求，但是客戶不是隨時可以訪問的。）
      iptables -A OUTPUT -s 172.16.34.30 -p tcp --sport 901 -j ACCEPT

      string；對字符串匹配
      --algo {bm|kmp}; 字符匹配查找時使用的算法
      --string 'STRING'; 要查找的字符串
      示例；如果客戶端口訪問的網(wǎng)頁當中有規(guī)則里定義的字符串則不顯示給客戶
      安裝httpd服務，新建兩個首頁文件，寫上不一樣的內(nèi)容，其中一個首頁文件里的內(nèi)容須有你需要匹配的字符串如“hello'.測試這個web服務的兩個首頁在沒有寫規(guī)則前都可以正常訪問。對其中一個web網(wǎng)頁做字符串匹配。