get="_blank">iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、 服务器 或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。下面为大家详细讲解一下Linux系统安全防火墙iptables。
iptables是用来设置、维护和检查Linux内核的IP分组过滤规则的。作为Linux下的一款防火墙,它的功能十分强大,它有3个表,每个表内有规则链。
(1)filter 是默认的表,包含了内建的链 INPUT(处理进入的分组)、FORWARD(处理通过的分组)和OUTPUT(处理本地生成的分组)。
(2)nat表被查询时表示遇到了产生新的连接的分组,由3个内建的链构成:PREROUTING(修改到来的分组)、OUTPUT(修改路由之前本地的分组)、postROUTING(修改准备出去的分组)。
(3)mangle表用来对指定的分组进行修改。它有2个内建规则:PREROUTING(修改路由之前进入的分组)和OUTPUT(修改路由之前本地的分组)。下面简单介绍iptables的常用配置。
1. 查看iptables规则
查看当前的iptables策略,使用iptables-L命令,默认查看的是filter表的内容,如下:
root@linuxprobe:~ChainINPUT(policyACCEPT)targetprotoptdestinationf2b-sshdtcp–anywhereanywheremultiportdportssshChainFORWARD(policyACCEPT)targetprotoptdestinationChainOUTPUT(policyACCEPT)targetprotoptdestinationChainf2b-sshd(1references)targetprotoptdestinationRETURNall-anywhereanywhere2. 设置chain策略
对于filter表,默认的chain策略为ACCEPT,可以通过以下命令修改chain的策略:
root@linuxprobe:~root@linuxprobe:~root@linuxprobe:~以上命令配置将接收、转发和发出分组均丢弃,施行比较严格的分组管理。由于接收和发分组均被设置为丢弃,当进一步配置其他规则的时候,需要注意针对 INPUT和OUTPUT分别配置。当然,如果信任本机器往外发分组,上面第3条规则可不必配置。
3. 清空已有规则
可以用以下规则来清空已有的规则:
root@linuxprobe:~4. 网口转发规则
对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的分组转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:
root@linuxprobe:~5. 端口转发规则
命令将888端口的分组转发到22端口,因而通过888端口也可进行SSH连接:
root@linuxprobe:~6. DoS攻击防范
利用扩展模块limit,还可以配置iptables规则,实现DoS攻击防范,如下所示:
root@linuxprobe:~–litmit 25/minute 指示每分钟限制最大连接数为25。
–litmit-burst 100 指示当总连接数超过100时,启动litmit/minute限制。
linux下防火墙如何对23口放行
允许任何网段访问23端口。 iptables -A INPUT -s 0.0.0.0/8 -p tcp --dport 23 -j ACCEPTiptables -A INPUT -s 0.0.0.0/8 -p udp --dport 23 -j ACCEPT还可以添加个-i 指定从哪个网卡进入。
关于Linux防火墙的包过滤功能设置(filter表)
iptables 你可以查看iptables -helpiptables -L查看当前规则iptables -F清空。 很多看你具体是要干什么了。
如何远程复制另一台Linux服务器
1.从本机复制文件到远程scp 文件名 远程计算机用户名@远程计算机的ip:远程计算机存放该文件的路径2.从远程复制文件到本机:scp 远程计算机用户名@远程计算机ip:文件名 存放该文件的本机路径3.本地复制目录到远程scp -r 目录名 远程计算机用户名@远程计算机的ip:远程计算机存放该目录的路径4.远程复制目录到本机scp -r 远程计算机用户名@远程计算机ip:目录名 存放该目录的本机路径
发表评论