Operaciones de iptables comúnmente conocidas

Enterprise 2023-07-02 13:09:47 views: null

Los siguientes son comandos y ejemplos de iptables de uso común, 100 se enumeran aquí:

  1. Borrar reglas y cadenas personalizadas en todas las cadenas de reglas
iptables -F
iptables -X
  1. establecer política predeterminada
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
  1. Permitir el tráfico en la interfaz de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
  1. Permitir el paso de conexiones ya establecidas y asociadas
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  1. Permitir el acceso a direcciones IP específicas o segmentos de red
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
  1. Permitir el acceso a los puertos especificados
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  1. Permitir el acceso al protocolo especificado
iptables -A INPUT -p icmp -j ACCEPT # 允许 ICMP 协议包通过
iptables -A INPUT -p udp --dport 53 -j ACCEPT # 允许 DNS 协议包通过
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许 SSH 协议包通过
  1. Prohibir el acceso a direcciones IP o segmentos de red específicos
iptables -A INPUT -s 192.168.1.0/24 -j DROP
  1. Permitir el acceso a la dirección MAC especificada
iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
  1. Permitir el acceso a la tarjeta de red especificada
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
  1. Permitir el acceso a usuarios específicos (necesita cooperar con el archivo sudoers)
iptables -A OUTPUT -m owner --uid-owner www-data -j ACCEPT
  1. Permitir que se reenvíen encabezados específicos
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.2.0/24 -j ACCEPT
  1. Denegar el acceso al puerto especificado
iptables -A INPUT -p tcp --dport 25 -j REJECT
  1. Denegar el acceso a direcciones IP o segmentos de red especificados
iptables -A INPUT -s 192.168.1.0/24 -j DROP
  1. control de tasa límite
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/sec -j ACCEPT
  1. Agregue las reglas en el script a iptables
bash script.sh
  1. ver las reglas actuales
iptables -L
  1. Ver las reglas de la cadena de reglas especificada
iptables -L INPUT
  1. Ver las reglas detalladas de la cadena de reglas especificada
iptables -L INPUT -v
  1. Muestra el formato de regla real en vigor al agregar una regla
iptables -S
  1. Permitir el paso de paquetes con la dirección MAC especificada
iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
  1. Denegar todos los paquetes TCP excepto los paquetes SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
  1. Restrinja el acceso SSH desde la dirección IP o el segmento de red
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport ssh -j ACCEPT
  1. Permita que pasen los paquetes del protocolo ICMP de la dirección IP o el segmento de red especificados
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
  1. Permita que el puerto especificado acceda desde la dirección IP o segmento de red especificado
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
  1. Permitir el paso de paquetes UDP desde el puerto y la dirección IP o el segmento de red especificados
iptables -A INPUT -p udp --sport 53 -s 192.168.1.0/24 -j ACCEPT
  1. Permita que los datos de la dirección IP o el segmento de red especificados pasen a través de la conexión establecida
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -s 192.168.1.0/24 -j ACCEPT
  1. Configurar el equilibrio de carga de SNAT
iptables -t nat -A PREROUTING -m statistic --mode nth --every 2 --packet 0 -j DNAT --to-destination 192.168.1.2:80
  1. Permitir el acceso a redes externas a través de un servidor proxy HTTP
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 8080 -m state --state ESTABLISHED -j ACCEPT
  1. Reenviar solicitudes HTTP al servidor web interno
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 192.168.1.2 -j ACCEPT
  1. Denegar el tráfico de direcciones IP específicas
iptables -A INPUT -s 192.168.1.10 -j DROP
  1. Denegar acceso a puerto TCP específico
iptables -A INPUT -p tcp --dport 22 -j DROP
  1. Permitir servicios específicos de direcciones IP específicas
iptables -A INPUT -s 192.168.1.10 -p tcp --dport 80 -j ACCEPT
  1. Solo permita el acceso SSH desde direcciones IP específicas
iptables -A INPUT -p tcp --dport ssh -s 192.168.1.10 -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j DROP
  1. Permitir el acceso a un rango específico de puertos
iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
  1. Prohibir que la IP de la red externa acceda al servidor de la red interna (local)
iptables -I INPUT -i eth0 ! -s 192.168.0/24 -j DROP
  1. Usar localhost como puerta de enlace NAT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
  1. Habilite la función de reenvío X11 de SSH
iptables -A INPUT -i eth0 -p tcp --dport 6000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 6000 -m state --state ESTABLISHED -j ACCEPT
  1. Prevenir ataques de inundación SYN
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
  1. Limite el número de conexiones desde la misma IP dentro de un tiempo específico
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
  1. Permitir que las herramientas ICMP hagan ping a las pruebas de accesibilidad
iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT
  1. Configurar el reenvío de direcciones IP
sysctl -w net.ipv4.ip_forward=1 # 启用IP地址转发
echo 1 > /proc/sys/net/ipv4/ip_forward # 启用IP地址转发
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 添加 NAT 规则
  1. Permitir reenvío de tráfico
echo 1 > /proc/sys/net/ipv4/ip_forward # 启用 IP 转发功能
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # 接受接口1到接口0的转发
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT # 接受回复数据包并通过接口1发回

Supongo que te gusta

Origin blog.csdn.net/m0_55877125/article/details/130849072
Recomendado
Clasificación
Diario
Más
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)

Code World

© 2018 codetd.com