|
1.定义预设策略
iptables [-t nat] -P [INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT,POSTROUTING] [ACCEPT, DROP]
-P:表示定义预设策略.
ACCEPT,DROP:接受或丢弃.
-t:指明定义的类型,默认为filter表,-t nat表示定义nat表。
INPUT, OUTPUT, FORWARD:filter表中的链.
PREROUTING, OUTPUT,POSTROUTING:nat表中的链.
2.针对ip和协议进行限制
iptables [-AI 链] [-io 网卡] [-p 协议] [-s 来源ip/网域] [--sport 端口范围] [-d 目标ip/网域] [--dport 端口范围] -j [ACCEPT, DROP]
A:在最后添加策略.
I:将策略插入到第一条.
i:接受数据报的网卡.
o:发送数据报的网卡.
p:指定使用的协议.tcp,udp,icmp,all.
s:数据报的来源,IP:192.168.1.1或者网域:192.168.1.0/24
sport:数据报来源端口范围,指定1:1023表示从1-1023.
d:数据报的目标,IP:192.168.1.1或者网域:192.168.1.0/24
dport:数据报目标端口范围,指定1:1023表示从1-1023.
j:指定符合条件时发生的动作.主要有:ACCEPT,DROP,LOG.
例:iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -d 192.168.1.1
--dport 53 -j DROP //拒绝给192.168.1.0/24提供dns服务
3.针对数据报状态设定
iptables -A INPUT -m state --state 状态 -j [ACCEPT,DROP,LOG]
--state:后接数据报状态:
INVALID:无效数据报
ESTABLISHED:连结成功的连线
NEW:请求建立连接
RELATED:表示数据报与我们发出去的数据报有关系
例:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //接受数据报状态为RELATED和ESTABLISHED数据报.
4.针对MAC地址设定
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j [ACCEPT,DROP,LOG]
5.针对icmp进行限制
iptables -A INPUT -p icmp --icmp-type 类型 -j [ACCEPT,DROP,LOG]
6.备份与恢复设定
iptables-save > bkfile
iptables-restore < bkfile
7.察看防火墙现有的设定
iptables [-t tables] -L -nv
t:用来指定表,不指定默认为filter
-L:显示目前table的设定
-n:不进行反向解析ip地址到主机名
-v:列出通过的数据报数量
|
