iptables练习

iptables练习


一、COMMAND

1、列出所有链的规则:iptables -L ,显示某条链的规则就是iptables -L INPUT

iptables练习

详细信息:iptables -vnL

iptables练习

2、清楚所有链的规则 :iptables -F

3、设置默认规则策略:iptables -P INPUT DROP,iptables -P OUTPUT DROP , iptables -P FORWARD DROP(拒绝所有数据包)

iptables练习

在虚拟机上改成:iptables -P INPUT ACCEPT ,远程连接才可用。

4、添加规则,在INPUT链上添加规则,协议是tcp,目标端口号是21:iptables -A INPUT -p tcp –dport 21

iptables练习

5、插入规则,在INPUT链上插入规则,协议是tcp,目标端口号是23,规则号是1:iptables -I INPUT 1 -p tcp –dport 23

iptables练习

6、替换规则,在INPUT链上替换规则号1的iptables规则,将目标端口号更改为24:iptables -R INPUT 1 -p tcp –dport 24

iptables练习

7、删除规则,在INPUT 链上删除规则号是1的iptables规则

iptables练习

二、match:基本规则匹配器

1、指定协议:iptables -A INPUT -p tcp -j ACCEPT

iptables练习

2、指定ICMP类型:iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables练习

3、指定ip地址:iptables -A INPUT -s 192.168.1.109 -j ACCEPT

iptables练习

4、指定接口:iptables -A FORWARD -o eno16777736 -j ACCEPT

iptables练习

5、指定端口号:iptables -A INPUT -p tcp –sport 80 -j ACCEPT

三、match:扩展规则匹配器

1、limit :限制速率。iptables -I INPUT -d 192.168.1.109 -p icmp –icmp-type 8 -m limit –limit 3/minute –limit-burst 5 -j ACCEPT

iptables练习

2、iprange :一整段连续的ip都可以:iptables -A INPUT -d 172.16.100.67 -p tcp –dport 80 -m iprange –src-range 172.16.100.5-172.16.100.10 -j DROP

iptables练习

3、time :指定某个时间范围内可以。

iptables练习

4、multiport :多个端口

iptables练习

5、string :对报文中的字符串做匹配检查,一些敏感词汇。

iptables练习

6、state:根据”连接追踪机制“去检查连接的状态。

~]# iptables -A INPUT -d 172.16.100.67 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
~]# iptables -A OUTPUT -s 172.16.100.67 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

练习:INPUT 和 OUTPUT 默认策略为 DROP;

iptables -P INPUT DROP
iptables -P OUTPUT DROP

1、限制本地主机的 web 服务器在周一不允许访问;新请求的速率不能超过 100 个每秒;web 服务器包含了 admin 字符串的页面不允许访问;web 服务器仅允许响应报文离开本机;

周一不允许访问

#iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays Mon -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT

新请求速率不能超过100个每秒

# iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/s

web包含admin字符串的页面不允许访问,源端口:dport

# iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'admin' -j REJECT

web服务器仅允许响应报文离开主机,放行端口(目标端口):sport

# iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

2、在工作时间,即周一到周五的 8:30-18:00,开放本机的 ftp 服务给 172.16.0.0 网络中的主机访问;数据下载请求的次数每分钟不得超过 5 个;

# iptables -A INPUT -p tcp --dport 21 -s 172.16.0.0 -m time ! --weekdays 6,7  -m time --timestart 8:30 --timestop 18:00  -m connlimit --connlimit-above 5 -j ACCEPT

3、开放本机的 ssh 服务给 172.16.x.1-172.16.x.100 中的主机,x 为你的学号,新请求建立的速率一分钟不得超过 2 个;仅允许响应报文通过其服务端口离开本机;

# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 172.16.0.1-172.16.0.100 -m limit --limit 2/m
# iptables -A OUTPUT -p tcp --sport 22 -m iprange --dst-range 172.16.0.1-172.16.0.100 -m state --state ESTABLISHED -j ACCEPT

4、拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

5、允许本机 ping 别的主机;但不开放别的主机 ping 本机;

# iptables -A INPUT  -p icmp --icmp-type 0 -j ACCEPT
# iptables -A OUTPUT  -p icmp --icmp-type 8 -j ACCEPT

原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/64323

(1)
N24_yeziN24_yezi
上一篇 2016-12-20
下一篇 2016-12-20

相关推荐

  • Centos6.5上搭建openvpn

    一、openvpn原理 二、安装openvpn 三、制作相关证书     3.1 制作CA证书     3.2 制作Server端证书     3.3 制作Client端证书 四、配置Server端 五、配置C…

    Linux干货 2016-04-28
  • 路径操作&StringIO/BytesIO

    Edit 路径操作&StringIO/BytesIO 路径操作 路径操作模块: 3.4版本以前os.path模块 In [1]: from os import path In [2]: p = path.join(‘/etc’,’sysconfig’,’network’)#将字符…

    Linux干货 2017-10-30
  • 马哥教育网络班22期+第三周(8.22-8.28)博客作业

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。   # who|awk '{print $1}'|sort| uniq 2、取出最后登录到当前系统的用户的相关信息。   # last   # last|gr…

    Linux干货 2016-08-29
  • 马哥教育网络20期+第五周练习博客

    1、  显示/boot/grub/grub.conf中以至少一个空白字符开头的行; [root@localhost ~]# grep "^[[:space:]]\+.*" /boot/grub/grub.conf          root (hd0…

    Linux干货 2016-08-02
  • 深入解析:分布式系统的事务处理经典问题及模型(转载分享)

    摘要:分布式系统需要在数据完整、一致性和性能间做平衡。本文系统介绍了处理分布式数据一致性的技术模型,如:Master-Slave,Master-Master,2PC/3PC,经典的将军问题,Paxos,以及Dynamo的NRW和VectorClock的模型。 编者按:数据服务的高可用是所有企业都想拥有的,但是要想让数据有高可用性,就需要冗余数据写多份。写多份…

    Linux干货 2015-04-04
  • iptables的DNAT、SNAT配置

    DNAT:目的地址转换。当外网主机访问内网的某台服务器的时候,如果直接暴露服务器的IP于公网,可能会遭受各种各样的攻击,而DNAT的主要作用就是在服务器前面添加一台防火墙。将防火墙的地址公布出去,让外网客户端通过访问防火墙的地址就可以访问到本地服务器。这样就起到了保护服务器的目的; SNAT:源地址转换。内网主机在访问互联网的时候所有源地址都转换为防火墙的外…

    2017-06-12