防火墙命令系列教程.doc

1.查看当前所有防火墙规则target列表示规则的动作目标。prot列表示该规则指定的上层协议名称，all表示所有的协 议。opt列出了规则的一些选项。source列表示数据包的源IP地址或子网，而destination列表示数据包的目的IP地址或子 网，anywhere表示所有的地址。 target列表示规则的动作目标。prot列表示该规则指定的上层协议名称，all表示所有的协 议。opt列出了规则的一些选项。source列表示数据包的源IP地址或子网，而destination列表示数据包的目的IP地址或子 网，anywhere表示所有的地址。 #?iptables?-L?-n?-v? 要显示输入或输出链规则，且结果中有行号，可以运行 #?iptables?-L?INPUT?-n?-v ? #?iptables?-L?OUTPUT?-n?--line-numbers? #?iptables?-L?OUTPUT?-n?--line-numbers?|?less ? #?iptables?-L?OUTPUT?-n?--line-numbers?|?grep?? 2.删除规则 #?iptables?-D?INPUT?4? 将IP地址从规则中删除： #?iptables?-D?INPUT?-s??-j?DROP? 3.拒绝所有IP访问 #?iptables?-P?INPUT?DROP ?（拒绝入栈）/使用这个命令之前必须把你当前IP添加到允许里面去 #?iptables?-P?OUTPUT?DROP ?（拒绝出栈）/这命令用不得，特别是远程进去的。 4.屏蔽入栈IP地址访问 #?iptables?-A?INPUT?-s??-j?DROP ? #?iptables?-A?INPUT?-s?/24?-j?DROP? 5.屏蔽入栈端口请求 如果我们想80端口上屏蔽所有的服务请求，可以运行： #?iptables?-A?INPUT?-p?tcp?--dport?80?-j?DROP ? #?iptables?-A?INPUT?-i?eth1?-p?tcp?--dport?80?-j?DROP? 只想屏蔽IP地址对80端口的请求，可以运行： #?iptables?-A?INPUT?-p?tcp?-s??--dport?80?-j?DROP ? #?iptables?-A?INPUT?-i?eth1?-p?tcp?-s?/24?--dport?80?-j?DROP? 6.屏蔽出栈IP地址 首先获取一个域名的IP地址，要屏蔽访问域名的网络数据包，可以运行： #?host?-t?a?? #?iptables?-A?OUTPUT?-d?06?-j?DROP? 7.允许一系列IP地址访问 iptables -A INPUT -s -j ACCEPT iptables -A OUTPUT -s -j ACCEPT iptables -A FORWARD -s -j ACCEPT service iptables save保存规则 #允许所有本机向外的访问 iptables -A OUTPUT -j ACCEPT #运行IP地址范围00?到00?访问80端口 ? #?iptables?-A?INPUT?-p?tcp?--destination-port?80?-m?iprange?--src-range?00-00?-j?ACCEPT ? #NAT示例 ? #?iptables?-t?nat?-A?POSTROUTING?-j?SNAT?--to-source?0-5 下面的命令可以允许7000到7010范围内的TCP端口访问： #?iptables?-A?INPUT?-m?state?--state?NEW?-m?tcp?-p?tcp?--dport?7000:7010?-j?ACCEPT? 8.解决重启iptables服务重启所有连接 （1）?重启后永久性生效： 　　开启：chkconfig?iptables?on 　　关闭：chkconfig?iptables?off （2）?即时生效，重启后失效： 　　开启：service?iptables?start 　　关闭：service?iptables?stop 当重启iptables服务时，它会断开所有已建立的连接。这是因为在重启防火墙时，会卸载IPTABLES_MODULES_UNLOAD模块。 要解决这个问题，可以编辑/etc/sysconfig/iptables-config vi /etc/init.d/iptables配置1：IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp"功能：当iptables启动时，载入ip_c