首页 > 代码库 > 初识iptables规则

初识iptables规则

iptables出入是双向的,设置iptables规则需要双向的。

服务端:172.16.16.102 IDC-16-102

客户端:172.16.16.104 IDC104

 

1、保存对防火墙的设置

[root@IDC-16-102 ~]# serivce iptables save 写入永久文件

执行该命令,临时iptables规则将写入/etc/sysconfig/iptables文件,重启之后永久生效,需要添加iptables开机启动项

[root@IDC-16-102 ~]# chkconfig iptables on 加入开机启动项

 

2、查看iptables规则及编号

[root@IDC-16-102 ~]# iptables -nvL --line-nu 查看规则

[root@IDC-16-102 ~]# iptables -D INPUT 3 删除规则

[root@IDC-16-102 ~]# iptables -D OUTPUT 3 删除规则

 

3、关闭所有的INPUT FORWARD(转发) OUTPUT的所有端口

[root@IDC-16-102 ~]# iptables -P INPUT DROP

[root@IDC-16-102 ~]# iptables -P FORWARD DROP

[root@IDC-16-102 ~]# iptables -P OUTPUT DROP

关闭后所有的ip都不可以连接进来,只能本地登录,外面ping不进来,本地也ping不出去,ssh出入也不正常

技术分享

 

4、打开22端口ssh连接,需要在本机服务端设置

允许172.16.16.104连接102服务器

[root@IDC-16-102 ~]# iptables -A INPUT -p tcp -s 172.16.16.104 --dport 22 -j ACCEPT

[root@IDC-16-102 ~]# iptables -A OUTPUT -p tcp --sport 22 -d 172.16.16.104 -j ACCEPT

允许所有远程ip访问102服务端

[root@IDC-16-102 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@IDC-16-102 ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

 技术分享

 

5、打开ping机制

双向ping通:允许客户端172.16.16.104ping102

[root@IDC-16-102 ~]# iptables -A INPUT -s 172.16.16.104 -d 172.16.16.102 -j ACCEPT

[root@IDC-16-102 ~]# iptables -A OUTPUT -s 172.16.16.102 -d 172.16.16.104 -j ACCEPT

 技术分享

单项ping通:(102ping104,104ping不通102)

 技术分享

6、开启上网,优先清空规则

以上操作会导致服务器102不能下载,建议清空规则开始下载

[root@IDC-16-102 ~]# iptables -A INPUT -d 172.16.16.102 -j ACCEPT

[root@IDC-16-102 ~]# iptables -A OUTPUT -s 172.16.16.102 -j ACCEPT

[root@IDC-16-102 ~]# ping 8.8.8.8

64 bytes from 8.8.8.8: icmp_seq=1 ttl=44 time=19.4 ms

[root@IDC-16-102 ~]# ping www.baidu.com

64 bytes from 111.13.100.92: icmp_seq=1 ttl=51 time=57.0 ms

 

7、开启80端口访问

目前只有这一种办法,其他添加两条规则的经测试均不适用。

[root@IDC-16-102 ~]# egrep -v "#|^$" /etc/sysconfig/iptables 添加80规则,21端口也适用

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

[root@IDC-16-102 ~]# /etc/init.d/iptables restart 重启防火墙

[root@IDC104 ~]# nmap 172.16.16.102 开始嗅探,端口是否关闭

Nmap scan report for 172.16.16.102

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

 技术分享

初识iptables规则