Linux时间设置与iptables命令 iptables命令 iptables常用命令

日期与时间设置

timedatectl：显示目前时区与时间等信息

[root@localhost zhang]# timedatectl
      Local time: Thu 2018-01-18 10:13:55 UTC Universal time: Thu 2018-01-18 10:13:55 UTC RTC time: Thu 2018-01-18 10:13:54 Timezone: UTC (UTC, +0000) NTP enabled: yes

时区的调整

timedatectl set-timezone "Asia/Shanghai"设置时区为上海

时间的调整

timedatectl set-time "2018-01-18 16:18"

hwcdate：自动更新时间

eg:[root@localhost zhang]# hwclock

Thu 18 Jan 2018 06:21:41 PM CST -0.896079 seconds

防火墙设置

iptables命令

iptables命令时Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。

主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

iptables选项和参数

• -t <table>：指定要操作的表
• -A：向规则链中添加条目
• -D：从规则链中删除条目
• -i：向规则链中插入条目
• -R：替换规则链中的条目
• -L：显示规则链中已有的条目
• -F：清楚规则链中已有的条目
• -Z：清空规则链中的数据包计算器和字节计数器
• -N：创建新的用户自定义规则链
• -P：定义规则链中的默认目标
• -h：显示帮助信息
• -p：指定要匹配的数据包协议类型
• -s：指定要匹配的数据包源ip地址
• -j <目标>：指定要跳转的目标
• -i <网络接口>：指定数据包进入本机的网络接口
• -o <网络接口>：指定数据包要离开本机所使用的的网络接口

iptables命令选项输入顺序

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables的表名包括：

• raw：高级功能。如：网址过滤

• mangle：数据包修改，用于实现服务质量

• net：地址转换，用于网关路由器。

• filter：包过滤，用于防火墙规则。

规则链名包括：

• INPUT链：处理输入数据包

• OUTPUT链：处理输出数据包

• PORWARE链：处理转发数据包

• PREROUTING链：用于目标地址转换（DNAT）

• POSTOUTING链：用于源地址转换（SNAT）

动作包括：

• ACCEPT：接收数据包
• DROP：丢弃数据包
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址转换
• DNAT：目标地址转换
• MASQUERADE：IP伪装（NAT），用于ADSL。
• LOG：日志记录

iptables命令

1、查看
iptables -nvL –line-number

-L 查看当前表的所有规则，默认查看的是filter表，如果要查看NAT表，可以加上-t NAT参数
-n 不对ip地址进行反查，加上这个参数显示速度会快很多
-v 输出详细信息，包含通过该规则的数据包数量，总字节数及相应的网络接口
–line-number 显示规则的序列号，这个参数在删除或修改规则时会用到

2、添加
添加规则有两个参数：-A和-I。其中-A是添加到规则的末尾；-I可以插入到指定位置，没有指定位置的话默认插入到规则的首部。

当前规则：

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.4          0.0.0.0/0

添加一条规则到尾部：

[root@test ~]# iptables -A INPUT -s 192.168.1.5 -j DROP

再插入一条规则到第三行，将行数直接写到规则链的后面：

[root@test ~]# iptables -I INPUT 3 -s 192.168.1.3 -j DROP

可以看到192.168.1.3插入到第三行，而原来的第三行192.168.1.4变成了第四行。

3、删除
删除用-D参数

删除之前添加的规则（iptables -A INPUT -s 192.168.1.5 -j DROP）：

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP

有时候要删除的规则太长，删除时要写一大串，既浪费时间又容易写错，这时我们可以先使用–line-number找出该条规则的行号，再通过行号删除规则。

[root@test ~]# iptables -nv --line-number
iptables v1.4.7: no command specified

删除第二行规则

[root@test ~]# iptables -D INPUT 2

4、修改
修改使用-R参数

先看下当前规则：

[root@test ~]# iptables -nL --line-number

将第三条规则改为ACCEPT：

[root@test ~]# iptables -R INPUT 3 -j ACCEPT

1、清除所有的规则。
1）清除预设表filter中所有规则链中的规则。
# iptables -F
2）清除预设表filter中使用者自定链中的规则。
#iptables -X
#iptables -Z
2、设置链的默认策略。一般有两种方法。
1）首先允许所有的包，然后再禁止有危险的包通过放火墙。
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT
2）首先禁止所有的包，然后根据需要的服务允许特定的包通过防火墙。
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
3、列出表/链中的所有规则。默认只列出filter表。
#iptables -L

4.开放指定的端口

命令iptables -A INPUT -j REJECT将屏蔽其他未授权的端口，因此请务必开放22端口以保障SSH连接正常~ 
#允许本机访问 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 
# 允许已建立的或相关连的通行 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#允许所有本机向外的访问 
iptables -A OUTPUT -j ACCEPT 
# 允许访问22端口 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
#允许访问80端口 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
#允许FTP服务的21和20端口 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
iptables -A INPUT -p tcp --dport 20 -j ACCEPT 
#如果有其他端口的话，规则也类似，稍微修改上述语句就行 
#禁止其他未允许的规则访问 
iptables -A INPUT -j REJECT 
iptables -A FORWARD -j REJECT 

屏蔽IP

#屏蔽单个IP iptables -I INPUT -s 192.168.170.131 -j DROP

#封整个段即从192.0.0.1到192.255.255.254的命令 iptables -I INPUT -s 192.0.0.0/8 -j DROP

#封IP段即从192.168.0.1到192.168.255.254的命令 iptables -I INPUT -s 192.168.0.0/16 -j DROP

#封IP段即从192.168.170.1到192.168.170.254的命令是 iptables -I INPUT -s 192.168.170.0/24 -j DROP

iptables time 时间匹配规则

每天固定时间段匹配

1	iptables -I FORWARD -s 172.17.1.132 -d 192.168.1.119 -m  time  --timestart 09:40 --timestop 09:59 -j DROP

6.设置开机启动 

一般在安装iptables完成后，开机启动会自动设置成功，但在个别CentOS系统上，貌似还有些问题，可以使用如下命令手动设置 
chkconfig --level 345 iptables on 

7.保存iptables规则 

service iptables save 

1、指定协议匹配。
1）匹配指定协议。
#iptables -A INPUT -p tcp
2）匹配指定协议之外的所有协议。
#iptables -A INPUT -p !tcp
2、指定地址匹配。
1）指定匹配的主机。
#iptables -A INPUT -s 192.168.0.18
2）指定匹配的网络。
#iptables -A INPUT -s 192.168.2.0/24
3）匹配指定主机之外的地址。
#iptables -A FORWARD -s !192.168.0.19
4）匹配指定网络之外的网络。
#iptables -A FORWARD -s ! 192.168.3.0/24
3、指定网络接口匹配。
1）指定单一的网络接口匹配。
#iptables -A INPUT -i eth0
#iptables -A FORWARD -o eth0
2）指定同类型的网络接口匹配。
#iptables -A FORWARD -o ppp+
4、指定端口匹配。
1）指定单一端口匹配。
#iptables -A INPUT -p tcp --sport www
#iptables -A INPUT -p udp –dport 53
2）匹配指定端口之外的端口。
#iptables -A INPUT -p tcp –dport !22
3）匹配端口范围。
#iptables -A INPUT -p tcp –sport 22:80
4）匹配ICMP端口和ICMP类型。
#iptables -A INOUT -p icmp –icimp-type 8
5）指定ip碎片。
每
个网络接口都有一个MTU（最大传输单元），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数据包
（称为ip碎片）来传输，而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题：当系统将大数据包划分成ip碎片传输时，第一个碎片含有
完整的包头信息（IP+TCP、UDP和ICMP），但是后续的碎片只有包头的部分信息（如源地址、目的地址）。因此，检查后面的ip碎片的头部（象有
TCP、UDP和ICMP一样）是不可能的。假如有这样的一条规则：
#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT
并且这时的FORWARD的policy为DROP时，系统只会让第一个ip碎片通过，而余下的碎片因为包头信息不完整而无法通过。可以通过—fragment/-f 选项来指定第二个及以后的ip碎片解决上述问题。
#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
注意现在有许多进行ip碎片攻击的实例，如DoS攻击，因此允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。
三、设置扩展的规则匹配（举例已忽略目标动作）
1、多端口匹配。
1）匹配多个源端口。
#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110
2）匹配多个目的端口。
#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80
3）匹配多端口(无论是源端口还是目的端口）
#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
2、指定TCP匹配扩展
使用 –tcp-flags 选项可以根据tcp包的标志位进行过滤。
#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN
#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK
上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。
#iptables -A FORWARD -p tcp --syn
选项—syn相当于”--tcp-flags SYN,RST,ACK SYN”的简写。
3、limit速率匹配扩展。
1）指定单位时间内允许通过的数据包个数，单位时间可以是/second、/minute、/hour、/day或使用第一个子母。
#iptables -A INPUT -m limit --limit 300/hour
2 )指定触发事件的阀值。
#iptables -A INPUT -m limit –limit-burst 10
用来比对一次同时涌入的封包是否超过10个，超过此上限的包将直接丢弃。
3）同时指定速率限制和触发阀值。
#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3
表示每分钟允许的最大包数量为限制速率（本例为3）加上当前的触发阀值burst数。任何情况下，都可保证3个数据包通过，触发阀值burst相当于允许额外的包数量。
4）基于状态的匹配扩展（连接跟踪）
每个网络连接包括以下信息：源地址、目标地址、源端口、目的端口，称为套接字对（socket pairs）；协议类型、连接状态（TCP协议）
和超时时间等。防火墙把这些信息称为状态（stateful）。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单包过滤防火墙具有更大的安全性，命令格式如下：
iptables -m state –-state [!]state [,state,state,state]
其中，state表是一个逗号分割的列表，用来指定连接状态，4种：
>NEW: 该包想要开始一个新的连接（重新连接或连接重定向）
>RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：
FTP的数据传输连接和控制连接之间就是RELATED关系。
>ESTABLISHED：该包属于某个已经建立的连接。
>INVALID:该包不匹配于任何连接，通常这些包被DROP。
例如：
（1）在INPUT链添加一条规则，匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包。
#iptables -A INPUT -m state –state RELATED,ESTABLISHED
（2）在INPUT链链添加一条规则，匹配所有从非eth0接口来的连接请求包。
#iptables -A INPUT -m state -–state NEW -i !eth0
又如，对于ftp连接可以使用下面的连接跟踪：
（1）被动（Passive）ftp连接模式。
#iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m
state -–state ESTABLISHED,RELATED -j ACCEPT
（2）主动（Active）ftp连接模式
#iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT

 iptables常用命令：https://www.cnblogs.com/ilinuxer/p/6364064.html