Linux iptables設定

標籤：

先舉例子說明，若伺服器網卡：

eth0 10.10.0.100

eth0:0 10.10.0.200

eth0:1 10.10.0.201

eth0:2 10.10.0.202

只允許10.10.0.100的IP啟用80連接埠

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

需要關閉10.10.0.100的80連接埠，其他ip的80連接埠都需要開啟

iptables -A INPUT -i eth0 -d 10.10.0.100 -p tcp --dport 80 -j DROP

只允許 10.10.0.100 訪問原生80連接埠

iptables -I INPUT -p TCP –dport 80 -j DROP

iptables -I INPUT -s 10.10.0.80 -p TCP –dport 80 -j ACCEPT

禁用80連接埠

iptables -I INPUT -p tcp --dport 80 -j DROP

開啟80連接埠

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

理論詳解： 

INPUT 鏈 – 處理來自外部的資料。
OUTPUT 鏈 – 處理向外發送的資料。
FORWARD 鏈 – 將資料轉寄到原生其他網卡裝置上。
儲存現有的規則：
iptables-save > /etc/iptables.rules
然後建立一個 bash 指令碼，並儲存到 /etc/network/if-pre-up.d/ 目錄下：
#!/bin/bash
iptables-restore < /etc/iptables.rules
這樣，每次系統重啟後 iptables 規則都會被自動載入。

描述規則的基本參數
-p 協議（protocol）
指定規則的協議，如 tcp, udp, icmp 等，可以使用 all 來指定所有協議。
如果不指定 -p 參數，則預設是 all 值。這並不明智，請總是明確指定協議名稱。
可以使用協議名 (如 tcp)，或者是協議值（比如 6 代表 tcp）來指定協議。映射關係請查看 /etc/protocols
還可以使用–protocol 參數代替 -p 參數
-s 源地址（source）
指定資料包的源地址
參數可以使 IP 位址、網路地址、主機名稱
例如：-s 192.168.1.101 指定 IP 位址
例如：-s 192.168.1.10/24 指定網路地址
如果不指定 -s 參數，就代表所有地址
還可以使用–src 或者–source
-d 目的地址（destination）
指定目的地址
參數和 -s 相同
還可以使用–dst 或者–destination
-j 執行目標（jump to target）
-j 代表 ”jump to target”
-j 指定了當與規則 (Rule) 匹配時如何處理資料包
可能的值是 ACCEPT, DROP, QUEUE, RETURN
還可以指定其他鏈（Chain）作為目標
-i 輸入介面（input interface）
-i 代表輸入介面 (input interface)
-i 指定了要處理來自哪個介面的資料包
這些資料包即將進入 INPUT, FORWARD, PREROUTE 鏈
例如：-i eth0 指定了要處理經由 eth0 進入的資料包
如果不指定 -i 參數，那麼將處理進入所有介面的資料包
如果出現! -i eth0，那麼將處理所有經由 eth0 以外的介面進入的資料包
如果出現 -i eth+，那麼將處理所有經由 eth 開頭的介面進入的資料包
還可以使用–in-interface 參數
-o 輸出（out interface）
-o 代表 ”output interface”
-o 指定了資料包由哪個介面輸出
這些資料包即將進入 FORWARD, OUTPUT, POSTROUTING 鏈
如果不指定 -o 選項，那麼系統上的所有介面都可以作為輸出介面
如果出現! -o eth0，那麼將從 eth0 以外的介面輸出
如果出現 -i eth+，那麼將僅從 eth 開頭的介面輸出
還可以使用–out-interface 參數

Iptables 命令格式

Iptables過濾條件

 

參考連結：

http://segmentfault.com/a/1190000002540601

http://www.cnblogs.com/metoy/p/4320813.html

Linux iptables設定