*
# 25 个最常用的 Linux IPTables 规则示例
乍一看,IPTables 规则可能看起来很神秘。
在本文中,我给出了 25 条实用的 IPTables 规则,您可以复制/粘贴这些规则并根据需要使用它们。
这些示例将作为您调整这些规则以满足您的特定要求的基本模板。
为便于参考,所有这 25 条 iptables 规则均采用 shell 脚本格式:[iptables-rules](https://bbs.huaweicloud.com/blogs/300486)
### 1\. 删除现有规则
在开始构建新规则集之前,您可能需要清除所有默认规则和现有规则。使用如下所示的iptables flush 命令来执行此操作。
~~~javascript
iptables -F
(或者)
iptables --flush
~~~
### 2\. 设置默认链策略
默认的链策略是 ACCEPT。对于所有 INPUT、FORWARD 和 OUTPUT 链,将其更改为 DROP,如下所示。
~~~javascript
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
~~~
当您将 INPUT 和 OUTPUT 链的默认策略设置为 DROP 时,对于您拥有的每个防火墙规则要求,您应该定义两个规则。即一种用于传入,一种用于传出。
在下面的所有示例中,每个场景都有两个规则,因为我们已将 DROP 设置为 INPUT 和 OUTPUT 链的默认策略。
如果您信任内部用户,则可以省略上面的最后一行。即默认情况下不要丢弃所有传出数据包。在这种情况下,对于您拥有的每个防火墙规则要求,您只需定义一个规则。即只为传入定义规则,因为所有数据包都接受传出。
### 3\. 阻止特定的 ip 地址
在我们继续进行其他示例之前,如果您想阻止特定的 ip 地址,您应该首先执行如下所示的操作。将下面示例中的“xxxx”更改为您要阻止的特定IP地址。
~~~javascript
BLOCK_THIS_IP="xxxx"
iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP
~~~
当您从日志文件中的特定 ip 地址中发现一些奇怪的活动时,这很有用,并且您希望在进一步研究时暂时阻止该 ip 地址。
您还可以使用以下变体之一,该变体仅阻止此 IP 地址的 eth0 连接上的 TCP 流量。
~~~javascript
iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP
~~~
### 4\. 允许所有传入的 SSH
以下规则允许 eth0 接口上的所有传入 ssh 连接。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
~~~
### 5\. 仅允许来自特定网络的传入 SSH
以下规则仅允许来自 192.168.100.X 网络的传入 ssh 连接。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
~~~
在上面的示例中,您还可以使用完整的子网掩码来代替 /24。即“192.168.100.0/255.255.255.0”。
### 6\. 允许传入的 HTTP 和 HTTPS
以下规则允许所有传入的 Web 流量。即到端口 80 的 HTTP 流量。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
~~~
以下规则允许所有传入的安全 Web 流量。即到端口 443 的 HTTPS 流量。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A 输出 -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
~~~
### 7\. 使用 MultiPorts 将多个规则组合在一起
当您允许来自外部世界的传入连接到多个端口时,您可以使用多端口扩展将它们组合在一起,而不是为每个端口编写单独的规则,如下所示。
以下示例允许所有传入的 SSH、HTTP 和 HTTPS 流量。
~~~javascript
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
~~~
### 8\. 允许传出 SSH
以下规则允许传出 ssh 连接。即当您从内部 ssh 到外部服务器时。
~~~javascript
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
~~~
请注意,这与传入规则略有不同。即我们在 OUTPUT 链上允许 NEW 和 ESTABLISHED 状态,而在 INPUT 链上只允许 ESTABLISHED 状态。对于传入规则,反之亦然。
### 9\. 只允许传出 SSH 到特定网络
以下规则仅允许传出 ssh 连接到特定网络。即你的 ssh 只能从内部连接到 192.168.100.0/24 网络。
~~~javascript
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
~~~
### 10\. 允许传出 HTTPS
以下规则允许传出安全 Web 流量。当您希望允许用户访问 Internet 流量时,这很有用。在服务器上,当您想使用 wget 从外部下载某些文件时,这些规则也很有用。
~~~javascript
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
~~~
注意:对于传出的 HTTP 网络流量,添加两个类似上面的额外规则,并将 443 更改为 80。
### 11\. 负载平衡传入的 Web 流量
您还可以使用 iptables 防火墙规则对传入的 Web 流量进行负载平衡。
这使用 iptables 第 n 个扩展。以下示例将 HTTPS 流量负载平衡到三个不同的 ip 地址。对于每 3 个数据包,它将负载平衡到适当的服务器(使用计数器 0)。
~~~javascript
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443
~~~
### 12\. 允许从外到内 Ping
以下规则允许外部用户能够 ping 您的服务器。
~~~javascript
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
~~~
### 13.允许从内到外ping
以下规则允许您从内部 ping 到任何外部服务器。
~~~javascript
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
~~~
### 14\. 允许环回访问
您应该允许在您的服务器上进行完全环回访问。即使用 127.0.0.1 访问
~~~javascript
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
~~~
### 15\. 允许内部网络到外部网络。
在一个以太网卡连接到外部,另一个以太网卡连接到内部服务器的防火墙服务器上,使用以下规则允许内部网络与外部网络通信。
本例中eth1连接外网(internet),eth0连接内网(例如:192.168.1.x)。
~~~javascript
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
~~~
### 16\. 允许出站 DNS
以下规则允许传出 DNS 连接。
~~~javascript
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
~~~
### 17\. 允许 NIS 连接
如果您正在运行 NIS 来管理您的用户帐户,您应该允许 NIS 连接。即使允许 SSH 连接,如果不允许 NIS 相关的 ypbind 连接,用户将无法登录。
NIS 端口是动态的。即当 ypbind 启动时,它会分配端口。
首先执行如下所示的 rpcinfo -p 并获取端口号。在此示例中,它使用端口 853 和 850。
~~~javascript
rpcinfo -p | grep ypbind
~~~
现在允许传入连接到端口 111,以及 ypbind 使用的端口。
~~~javascript
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
iptables -A INPUT -p udp --dport 850 -j ACCEPT
~~~
当您重新启动 ypbind 时,上述内容将不起作用,因为那时它将具有不同的端口号。
有两种解决方案:1) 为您的 NIS 使用静态 ip-address,或 2) 使用一些巧妙的 shell 脚本技术从“rpcinfo -p”命令输出中自动获取动态端口号,并使用上面的那些iptables 规则。
### 18\. 允许来自特定网络的 Rsync
以下规则仅允许来自特定网络的 rsync。
~~~javascript
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
~~~
### 19\. 只允许来自特定网络的 MySQL 连接
如果您正在运行 MySQL,通常您不希望允许来自外部的直接连接。在大多数情况下,您可能在运行 MySQL 数据库的同一台服务器上运行 Web 服务器。
然而,DBA 和开发人员可能需要使用 MySQL 客户端从他们的笔记本电脑和台式机直接登录到 MySQL。在这种情况下,您可能希望允许您的内部网络直接与 MySQL 对话,如下所示。
~~~javascript
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
~~~
### 20\. 允许 Sendmail 或 Postfix 流量
以下规则允许邮件通信。它可能是sendmail 或postfix。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
~~~
### 21\. 允许 IMAP 和 IMAPS
以下规则允许 IMAP/IMAP2 流量。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
~~~
以下规则允许 IMAPS 流量。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
~~~
### 22\. 允许 POP3 和 POP3S
以下规则允许 POP3 访问。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
~~~
以下规则允许 POP3S 访问。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
~~~
### 23\. 防止 DoS 攻击
以下 iptables 规则将帮助您防止对您的网络服务器的拒绝服务 (DoS) 攻击。
~~~javascript
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
~~~
在上面的例子中:
* \-m 限制:这使用限制 iptables 扩展
* –limit 25/minute:这限制每分钟最多 25 个连接。根据您的特定要求更改此值
* –limit-burst 100:此值表示仅在连接总数达到限制突发级别后才会强制执行限制/分钟。
### 24\. 端口转发
以下示例将所有到达端口 442 的流量路由到 22。这意味着传入的 ssh 连接可以来自端口 22 和 422。
~~~javascript
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22
~~~
如果您执行上述操作,您还需要明确允许端口 422 上的传入连接。
~~~javascript
iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT
~~~
### 25\. 记录丢弃的数据包
您可能还想记录所有丢弃的数据包。这些规则应该在底部。
首先,创建一个名为 LOGGING 的新链。
~~~javascript
iptables -N LOGGING
~~~
接下来,确保所有剩余的传入连接都跳转到 LOGGING 链,如下所示。
~~~javascript
iptables -A INPUT -j LOGGING
~~~
接下来,通过指定自定义“日志前缀”来记录这些数据包。
~~~javascript
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped:" --log-level 7
~~~
最后,丢弃这些数据包。
~~~javascript
iptables -A LOGGING -j DROP
~~~
以上25条iptables规则都是shell脚本格式:[iptables-rules](https://bbs.huaweicloud.com/blogs/300486)
- 空白目录
- containerd
- php
- php常用函数
- 点语法
- 依赖注入
- 反射
- 迭代器和yield
- array_walk
- str_replace
- openssl_decrypt
- array_merge
- 闭包
- 深拷贝与浅拷贝
- 面向对象
- 魔术方法
- __invoke
- __isset 和 __unset
- __clone
- 常用知识点
- 访问权限
- 抽象类
- 多态
- php框架
- tp
- tp3
- tp5
- job
- laravel
- 中间件
- laravel闭包
- symfony
- 小工具
- phpexcel
- xlswrite
- 设计模式
- 事件event
- 里氏替换原则
- 借鉴
- RESTful API
- 环境安装
- 编译安装
- 编译安装后扩展补充
- php小记录
- php-fpm
- 容器(Container)
- composer
- composer踩坑
- mysql
- 基础知识
- 外键
- 索引
- 触发器
- 定时器
- 分表
- 分区
- 连接查询
- 事务
- 锁机制
- 视图
- 存储过程
- 查询
- 字符截取
- 批量修改表名(前缀)
- explain
- when_case
- pdo
- mysql优化
- 主从复制
- 权限分配
- 实用例子
- 查询用户
- 常见问题
- 5.7group by问题
- 远程链接慢问题
- 查看进程
- 远程访问
- 常用小记
- mysqldump
- 备份还原
- 系统盘迁移数据盘
- 安装sql
- 安装MariaDB
- docker
- 安装docker
- 配置centos开发环境
- docker运行程序
- rabbitmq
- 删除无用镜像
- 解决Centos firewalld导致的docker容器内无法访问外网,无法访问其他容器(host没办法解析)
- docker-compose
- docker-selenium
- ports 配置
- docker-compose-settings
- 安装
- docker-compose常用配置
- docker常用命令
- build
- docker-hub加速
- docker-run
- Dockerfile
- apt-get update 无法升级
- 阿里打标签
- 打包流程
- docker-network
- ufw 允许 docker 容器联网
- 安装containerd
- linux
- centos7
- 常用语法
- chmod
- chown
- find
- grep
- /etc/passwd
- chattr
- In软连接
- 文件目录大小
- xargs
- 管道用法
- top
- free
- 端口占用
- 压缩解压
- tar
- gzip
- zip
- 2>&1
- 环境变量
- 服务管理
- systemctl
- sed
- shell脚本
- time
- journal
- history
- linux-set
- linux-curl
- cp
- umask
- mkdir
- http状态码
- awk
- lsof
- crontab
- supervisor
- 常用命令汇总
- 用户权限
- 普通用户添加sudo权限
- sudo su
- 添加用户
- 查看用户信息
- 修改用户信息
- 特殊权限
- 系统命令
- 常用小技巧
- vim小技巧
- 防火墙
- 常用规则
- iptables
- 磁盘清理
- 分区挂载
- linux-sh
- tmux
- 多命令执行
- 常用工具
- telnet
- ip转发
- nohup
- watch
- dig
- 查看磁盘IO
- ssh
- 修改ssh端口
- ssh免密登录
- 配置文件
- 公钥分发
- xsync
- 国内镜像站
- github加速
- 测网速
- 网卡
- 清理日志备份
- 配置sftp
- shell
- rpm
- 安全
- 安装openssl
- 安装openssh
- 禁用selinux和防火墙
- lanp环境安装
- versionTool
- git
- git基本用法
- Gogs搭建
- git钩子
- git的习惯配置
- phpStorm设置git bash
- git bash 设置代理
- gitignore 不起作用的解决办法
- gitea搭建
- 同步主干到fork
- git修改地址
- svn
- svn基本操作
- svn 钩子应用
- svn多版本操作
- Go语言
- Go语言基础
- 安装环境
- linux安装
- window安装
- 工具使用教程
- linux终端分屏Screen
- keepass 帐号密码管理
- phpstorm
- 去掉window换行符
- php_cs
- 自定义快捷模块
- phpstorm快捷键
- curl
- 正则
- 设计架构
- 设计模式的六大原则
- 计算机基础
- TCP三次握手
- OSI7层
- http状态返回码
- 前端框架
- Vue
- Angular
- React
- node
- 服务端渲染(SSR)
- MVVM
- nuxt
- pm2
- js
- Promise
- es6
- 常用站点
- 工具类
- 学习类
- ps常用命令
- nginx
- 缓存
- 配置
- TCP
- 常用配置
- ng优先级
- vhost注意点
- nginx第一层验证
- 转发(跨域问题)
- 404
- nginx日志格式化
- 重启脚本
- 宝塔禁用境外ip访问
- ng统计
- ng编译安装
- 防盗链
- 技术相关了解
- ddos
- xss
- mysql防注入
- csrf攻击
- 邮箱系统原理
- DNS
- python
- Selenium
- 微信
- 公众号
- 公众号配置
- 用户授权
- 小程序
- 公有云
- 华为云
- JAVA
- springboot
- windows
- service
- WSL
- 目录迁移
- wsl2 踩坑
- NoSql
- mongodb
- 安装mongodb
- redis
- redis-windows
- redis-linux
- openstack
- ====副业====
- 撸茅台
- 网络
- 单位换算
- DB
- clickhouse