A.ビュー既存のファイアウォールポリシー
-L iptablesの- N-
iptablesの -L -n --line-番号# -行番号パラメータが削除ポリシーで使用されるポリシー番号を表示
II。(例えば、22個のポートで)ファイアウォールポリシーを追加します
INPUT -sのiptables -A 192.168。220.0 / 24 -p TCP --dport 22である - Jセグメント上昇は#1 ACCEPT iptablesの -A INPUTが-s 192.168。1.1 -p TCP --dport 22は、 - J#は、IP単一の増加をACCEPT iptablesの - INPUT --dport TCP -p 22は DROP -jを
説明:
1 -Aエージェントは-Iならば、使用の始めに挿入されるように、最後に追加され
2.マルチIP離れコンマ(半値幅)を使用し、その後、マルチは離れコンマ(半値幅)を用い-mマルチポートを追加します
iptablesの-A INPUTは-s 127.0。0.1、1192.168。1.1 -p TCP -mマルチ--dport 22を、23 - J ACCEPT iptablesの -A INPUT -p tcpの-mマルチ--dport 22を、23 -mコメント--comment " 拒否するすべて22,23 " -j DROP
--src-範囲の連続組み合わせIP 3.
iptablesの-I INPUT -m iprange --src-範囲192.168。220.128 - 192.168。220.139 -pのtcp -mマルチポートは--dport 22、23 -mコメント--comment " サブネットを:22,23 " ACCEPT -j
この文は0.0.0.0/0となっ源となることに注意して下さい、彼はすべてのIPを解放します心配しないで、送信元IP範囲は後ろのIPアクティブで説明があります
4.彼らは、紛争や戦略なしに何のケースがなかった、と-I -A結果が同じである場合は、しかし、2つの条件「リモートファイアウォールを追加」にし、「22ポート制限」、-Iは致命的にあなたを得る可能性がありますトラブル:
TCP -p iptablesの-I INPUTは--dport 22 - jはDROPは iptablesの -I INPUTは-s 192.168。1.1 --dport -p TCP 22 - jのACCEPT iptablesの -I -s INPUT 192.168。220.0 / 24 -p TCPは--dport 22を ACCEPT -j
すぐにあなたのsshなど、実行「TCP -pのiptables -I INPUTは22 -j DROPを--dport」後3 -A 3と結果は同じですが、ファイアウォールポリシーはすぐに効果があるがあるようです2後ろに切断され、実行されることはありません
ファイアウォールポリシーの変更III。
-R INPUTは、iptablesの2 -s 192.168。1.1は、 TCP --dport -p 22そのうちの直接取っている2は、すべてのパラメータで見つかった--line-Nemberのは-Rがベースで、元のポリシーを変更しないで書くべきである-j DROPの#元はここにあるものの、そのため、192 -s 168.1 0.1をまだそうでない場合、結果は、ポート22上のすべてのIP接続要求DROP出て、書きたいです
IV。ファイアウォールポリシーを削除します。
-D INPUTは、iptablesの2 #2が--line-ある数値、文は第2条戦略に削除されます見つける のiptables -F#文は、すべてのファイアウォールルールをクリアします、注意
ファイアウォールルールの保存V.
永久的なファイアウォールの設定を保存する;ファイアウォールサービスポリシーは、以前に保存された状態のポリシーに戻ります再起動し、ファイアウォールのトップは一時的とコンフィギュレーションファイルに保存されていない変更(、/ etc / sysconfig / iptables内)
サービスiptbales保存します
転送:https://www.cnblogs.com/lsdb/p/7060251.html