一、查看iptables里的规则:
iptables -L INPUT / FORWARD / OUTPUT
修改默认iptables里的规则:iptables -P
追加iptables里的规则:iptables -A
修改规则:iptables -R
删除规则:iptables -D
清空规则:iptables -F
二、处理方式两种:ACCEPT / DROP
三、匹配条件:
出入接口(-o、-i) 网卡
源、目的地址(-s、-d) IP或者IP段
协议类型(-p) TCP ,UDP
源、目的端口(-sport、-dport)
示例:
# 将接口eth0流出的数据DROP掉
iptables -A OUTPUT -o eth0 -j DROP
# 将流入到接口eth0的数据DROP掉
iptables -A INPUT -i eth0 -j DROP
# 将来自192.168.0.1的任何请求DROP掉
iptables -A INPUT -s 192.168.0.1 -j DROP
# 将本机发往192.168.0.1的任何请求DROP掉
iptables -A OUTPUT -d 192.168.0.1 -j DROP
【注:可以是单个IP(192.168.0.1)、网段(192.168.0.1/24)、域名;不设置则表示任何地址】
----------------------------------------------
# 禁止192.168.0.1/24的客户机连接本机22端口
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 22 -j DROP
# 禁ping
iptables -A INPUT -p icmp -j DROP
# 可以ping通其他客户机,但是其他客户机ping 不通该机
iptables -A INPUT -p 1 --icmp -type 8 -j DTOP
----------------------------------------------
【按照端口匹配】
# 将来自80端口的请求DROP掉
iptables -A INPUT -p tcp --sport 80 -j DROP
# 将来自192.168.0.1/24的针对本机80端口的请求DROP掉
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 80 -j DROP
注意:
1、–sport、–dport必须配合参数-p使用;
2、可以指定某个端口,也可是端口范围,
比如 :2000(2000一下端口)、2000:3000(2000-3000端口)、3000: (3000以上端口)
规则配置文件目录:/etc/sysconfig/iptables
# 保存到文件中的命令:
service iptables save
# 临时保存,重启无效
iptables - save
# 放弃保存
iptables -restore