Linuxは、ファイアウォールのルールセットをiptablesの

その他 2019-11-18 21:33:57 訪問数: null

iptablesのコマンドは、一般的にLinux上でファイアウォールソフトウェアを使用している、それはnetfilterのプロジェクトの一部です。これは直接設定、またはフロントエンドとGUI構成の数を通ることができます。

まず、文法

iptablesの(オプション)(パラメータ)

第二に、オプション

コードをコピー 
-t <TABLE>:操作するテーブルを指定し; 
-Aは:チェーン内のルールにエントリを追加; 
-D:チェーン内のルールから削除エントリを、
-i:チェーン内のルールにエントリを挿入するステップと、
-R&LT:置換は、鎖を支配エントリー; 
-L:既に表示ルールエントリチェーンにおける; 
-F:チェーンエントリが明らかに既存のルール; 
-Z:チェーン電卓パケットとバイトのカウンターで空のルール; 
-N:新しいユーザーを作成します。カスタムルールチェーン; 
-P:チェーン内のデフォルトオブジェクト定義ルール; 
-H:表示するヘルプ情報; 
-p:パケットタイプが一致するプロトコルを指定します。
-s:指定は、パケットの送信元アドレスのIPと一致する; 
-j <ターゲット>:ジャンプする標的; 
-i <ネットワークインタフェース>:指定したパケットは、マシンのネットワーク・インタフェースに入り、
-o <ネットワークインタフェース>:指定のマシンが使用するネットワーク・インターフェースを残しデータパケットを。
コードをコピー

1、iptablesのは、注文を入力するためのオプションをコマンド:

--sport元ポート<ソースIP /ソースサブネット-s> iptablesの-tテーブル<-A / I / D / R>連鎖ルール名[ルール番号] <-i / Oカード名> -pプロトコル名< -dターゲットIP /宛先サブネット> --dport宛先ポート-jアクション

表の名前が含まれます:

  • RAW:URLフィルタリング:高度のような、特徴。
  • マングル:パケットの変更(QOS)、サービス品質を実行するため。
  • NET:アドレス変換、ゲートウェイルータ。
  • フィルタ:パケットフィルタリング、ファイアウォールのルールが使用されます。

チェーンの名前が含まれルール:

  • INPUTチェーン:入力データパケットを処理します。
  • OUTPUTチェーン:出力データ・パケットを処理します。
  • PORWARDチェーン:前方パケットを処理します。
  • PREROUTINGチェーン:ターゲット・アドレス変換(DNAT)のために。
  • POSTOUTINGチェーン:ソースアドレス変換(SNAT)。

アクションは次のとおりです。

  • 受け入れ:データパケットを受信します。
  • DROP:パケットを破棄する。
  • REDIRECT:リダイレクト、マッピング、透過プロキシ。
  • SNAT:ソースアドレス変換。
  • DNAT:宛先アドレス変換。
  • MASQUERADE:ADSL用IPマスカレード(NAT)、。
  • LOG:ロギング。

第三に、一般的な例

1、既存のiptablesのルールを削除します

iptablesの-F 
iptablesの-X 
のiptables -Z

2は、指定されたポートを開きます

コードをコピー 
iptablesの-A入力は、-j 127.0.0.1 -d 127.0.0.1を-s #はACCEPT (即ち、マシンへのアクセスがネイティブ実行)ローカルループバックインタフェースを可能にする
のiptables -A INPUT -m状態が設立され、許可された#ザ関連ACCEPT -j --state確立または接続された通路は
#が外側にすべてのローカルへのアクセスを許可ACCEPT -j -A OUTPUTは、iptablesの
-A INPUTをiptablesの-p TCP --dport 22 -j #ACCEPT ポートへのアクセスを許可するように22 
-A INPUT -p tcpのをiptablesの-ポートへのアクセスを許可するように#80をACCEPT -j 80を-dport 
-p TCP --dport 21 -j -A INPUTをiptablesの #ACCEPT FTPサービスポート21の許可
iptablesの-A INPUT -p tcpのを--dport 20 -j ACCEPT#は、 FTPサービスを許可します20ポートが
アクセスを許可されていません#が他のルールを禁止拒否-j -A INPUTをiptablesの
許可されていません#他のルールは、アクセスを禁止REJECT -j -A FORWARDをiptablesの
コードをコピー

2、ブロックIP

iptablesの-I入力が123.45.6.7 -j DROP位シールド単一IPコマンドが-s 
-I INPUTは123.0.0.0/8 -j DROP位シール123.255.255.254すなわちコマンドに123.0.0.1から全期間-s iptablesの
iptablesの-I INPUTは123.45.0.1から123.45.255.254コマンドに即ち124.45.0.0/16 -j DROP#IP閉鎖セグメントが-s 
-I INPUTがIPに123.45.6.1から123.45.6.0/24 -j DROP#シールセグメント、すなわちを-s iptablesの123.45.6.254コマンド

3、iptablesのルールが追加されている参照

iptablesの-L -n -v

4、削除、追加のiptablesのルール

4.1は、すべてのiptablesのは、シリアル番号の表示をマークするために実行します:

iptablesの-L -n --line-番号

あなたはINPUT 8でルールを削除するシリアル番号など4.2は、実行します。

iptablesの-DのINPUT 8

四、頻繁に使用するコマンドのiptables

コードをコピー 
サービスのiptablesは#始動開始
iptablesの再起動#再起動サービスを
#保存保存サービスのiptables 
サービス停止#停止iptablesの
サービスがステータス#チェック状態をiptablesの

iptablesの-L -v#テーブルを表示することをお勧めする場合、外方向に-vパラメータ、ディスプレイ情報などを置きます情報はより完全かつ詳細な表示しました。
iptablesの-A INPUTが-i eth0の-s 192.168.0.0/16 -j #をACCEPT に、INPUTチェインのルールを追加し、ネイティブデータを宛先eth0の192.168.0.0/16のネットワークポートの送信元アドレスからの受信
のiptables -D #ルールを削除するには、コマンドにアクセスすることができます番号は
-F#すべてのルールが削除されるiptablesの
iptablesのセーブ指定されたディレクトリ指定されたファイルへ> /home/pi/iptables.bak#バックアップルール
</ホーム/パイiptablesのリストア / iptablesの。 BAK#は、指定したファイルルールの復元
に、/ etc / sysconfig / iptables内の設定の保存#保存サービスのiptablesを
コードをコピー

注:上記のコマンドはでUbuntuの/ Debianでは使用できません。

NATテーブルにファイアウォールのルールをチェック [root@Thost crh]# iptables -t nat -L -n --line-numbers

あなたはそれを確認することですルールを削除してもよろしいが、いくつかのルールは、フロントのルールは、次を削除し、シリアル番号numを持っています:iptables -t nat -D POSTROUTING 1

まず、文法

iptablesの(オプション)(パラメータ)

第二に、オプション

コードをコピー 
-t <TABLE>:操作するテーブルを指定し; 
-Aは:チェーン内のルールにエントリを追加; 
-D:チェーン内のルールから削除エントリを、
-i:チェーン内のルールにエントリを挿入するステップと、
-R&LT:置換は、鎖を支配エントリー; 
-L:既に表示ルールエントリチェーンにおける; 
-F:チェーンエントリが明らかに既存のルール; 
-Z:チェーン電卓パケットとバイトのカウンターで空のルール; 
-N:新しいユーザーを作成します。カスタムルールチェーン; 
-P:チェーン内のデフォルトオブジェクト定義ルール; 
-H:表示するヘルプ情報; 
-p:パケットタイプが一致するプロトコルを指定します。
-s:指定は、パケットの送信元アドレスのIPと一致する; 
-j <ターゲット>:ジャンプする標的; 
-i <ネットワークインタフェース>:指定したパケットは、マシンのネットワーク・インタフェースに入り、
-o <ネットワークインタフェース>:指定のマシンが使用するネットワーク・インターフェースを残しデータパケットを。
コードをコピー

1、iptablesのは、注文を入力するためのオプションをコマンド:

--sport元ポート<ソースIP /ソースサブネット-s> iptablesの-tテーブル<-A / I / D / R>連鎖ルール名[ルール番号] <-i / Oカード名> -pプロトコル名< -dターゲットIP /宛先サブネット> --dport宛先ポート-jアクション

表の名前が含まれます:

  • RAW:URLフィルタリング:高度のような、特徴。
  • マングル:パケットの変更(QOS)、サービス品質を実行するため。
  • NET:アドレス変換、ゲートウェイルータ。
  • フィルタ:パケットフィルタリング、ファイアウォールのルールが使用されます。

チェーンの名前が含まれルール:

  • INPUTチェーン:入力データパケットを処理します。
  • OUTPUTチェーン:出力データ・パケットを処理します。
  • PORWARDチェーン:前方パケットを処理します。
  • PREROUTINGチェーン:ターゲット・アドレス変換(DNAT)のために。
  • POSTOUTINGチェーン:ソースアドレス変換(SNAT)。

アクションは次のとおりです。

  • 受け入れ:データパケットを受信します。
  • DROP:パケットを破棄する。
  • REDIRECT:リダイレクト、マッピング、透過プロキシ。
  • SNAT:ソースアドレス変換。
  • DNAT:宛先アドレス変換。
  • MASQUERADE:ADSL用IPマスカレード(NAT)、。
  • LOG:ロギング。

第三に、一般的な例

1、既存のiptablesのルールを削除します

iptablesの-F 
iptablesの-X 
のiptables -Z

2は、指定されたポートを開きます

コードをコピー 
iptablesの-A入力は、-j 127.0.0.1 -d 127.0.0.1を-s #はACCEPT (即ち、マシンへのアクセスがネイティブ実行)ローカルループバックインタフェースを可能にする
のiptables -A INPUT -m状態が設立され、許可された#ザ関連ACCEPT -j --state確立または接続された通路は
#が外側にすべてのローカルへのアクセスを許可ACCEPT -j -A OUTPUTは、iptablesの
-A INPUTをiptablesの-p TCP --dport 22 -j #ACCEPT ポートへのアクセスを許可するように22 
-A INPUT -p tcpのをiptablesの-ポートへのアクセスを許可するように#80をACCEPT -j 80を-dport 
-p TCP --dport 21 -j -A INPUTをiptablesの #ACCEPT FTPサービスポート21の許可
iptablesの-A INPUT -p tcpのを--dport 20 -j ACCEPT#は、 FTPサービスを許可します20ポートが
アクセスを許可されていません#が他のルールを禁止拒否-j -A INPUTをiptablesの
許可されていません#他のルールは、アクセスを禁止REJECT -j -A FORWARDをiptablesの
コードをコピー

2、ブロックIP

iptablesの-I入力が123.45.6.7 -j DROP位シールド単一IPコマンドが-s 
-I INPUTは123.0.0.0/8 -j DROP位シール123.255.255.254すなわちコマンドに123.0.0.1から全期間-s iptablesの
iptablesの-I INPUTは123.45.0.1から123.45.255.254コマンドに即ち124.45.0.0/16 -j DROP#IP閉鎖セグメントが-s 
-I INPUTがIPに123.45.6.1から123.45.6.0/24 -j DROP#シールセグメント、すなわちを-s iptablesの123.45.6.254コマンド

3、iptablesのルールが追加されている参照

iptablesの-L -n -v

4、削除、追加のiptablesのルール

4.1は、すべてのiptablesのは、シリアル番号の表示をマークするために実行します:

iptablesの-L -n --line-番号

あなたはINPUT 8でルールを削除するシリアル番号など4.2は、実行します。

iptablesの-DのINPUT 8

四、頻繁に使用するコマンドのiptables

コードをコピー 
サービスのiptablesは#始動開始
iptablesの再起動#再起動サービスを
#保存保存サービスのiptables 
サービス停止#停止iptablesの
サービスがステータス#チェック状態をiptablesの

iptablesの-L -v#テーブルを表示することをお勧めする場合、外方向に-vパラメータ、ディスプレイ情報などを置きます情報はより完全かつ詳細な表示しました。
iptablesの-A INPUTが-i eth0の-s 192.168.0.0/16 -j #をACCEPT に、INPUTチェインのルールを追加し、ネイティブデータを宛先eth0の192.168.0.0/16のネットワークポートの送信元アドレスからの受信
のiptables -D #ルールを削除するには、コマンドにアクセスすることができます番号は
-F#すべてのルールが削除されるiptablesの
iptablesのセーブ指定されたディレクトリ指定されたファイルへ> /home/pi/iptables.bak#バックアップルール
</ホーム/パイiptablesのリストア / iptablesの。 BAK#は、指定したファイルルールの復元
に、/ etc / sysconfig / iptables内の設定の保存#保存サービスのiptablesを
コードをコピー

注:上記のコマンドはでUbuntuの/ Debianでは使用できません。

NATテーブルにファイアウォールのルールをチェック [root@Thost crh]# iptables -t nat -L -n --line-numbers

あなたはそれを確認することですルールを削除してもよろしいが、いくつかのルールは、フロントのルールは、次を削除し、シリアル番号numを持っています:iptables -t nat -D POSTROUTING 1

おすすめ

転載: www.cnblogs.com/zaizai1573/p/11885271.html
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com