| 添加规则 | -a | 在链末尾追加一条规则 |
| -i | 在链开头或某序号前插入一条规则 | |
| 查看规则 | -l | 列出所有规则 |
| -n | 数字显示地址和端口信息 | |
| -v | 详细信息 | |
| -line-numbers | 显示规则序号 | |
| 删除规则 | -d | 删除某个序号的规则 |
| -f | 清空规则 | |
| 默认规则 | -p | 指定默认规则 |
1.查看规则
-l -n
以数字形式查看filter表input链的所有规则
iptables -nl input
查看filter表input链的所有规则,并显示规则序号
iptables -l input --line-numbers
2.增加规则
iptables -a input -p tcp -j accept //在filter表input链的末尾添加一条规则,允许tcp协议的数据包通过
iptables -i input -p udp -j accept //在filter表input链的首行添加一条规则,允许udp协议的数据包通过
iptables -i input 2 -p icmp -j accept //在filter表input链的第二行添加一条规则,允许icmp协议的数据包通过
3.清除原规则
iptables -f 清除预设表filter中的所有规则链的规则
iptables -x 清除预设表filter中使用者自定链中的规则
iptables -d input 2 删除filter表input链的第二条规则
4.设置规则
iptables -p forward drop //将filter表forward链的默认策略设为丢弃
iptables -p output accept //将filter表output链的默认策略设为允许
设置ssh访问
iptables -a input -p tcp --dport 22 -j accept
iptables -a output -p tcp --sport 22 -j accept
iptables -i input -p icmp -j drop //丢弃通过icmp协议访问本机的数据包
iptables -a forward ! -p icmp -j accept //允许转发除了icmp协议之外的数据包
iptables -a input -p tcp --tcp-flags all fin,urg,psh -j drop //防止xmas扫描
iptables -a input -p tcp --tcp-flags all none -j drop //防止tcp null扫描
iptables -a input -p tcp --tcp-flags syn,ack syn,ack -m state --state new -j drop //拒绝tcp标记为syn/ack,但连接状态为new的数据包,防止ack欺骗
iptables -a input -p icmp --icmp-type 8 -j drop //禁止从其他主机ping本机,但允许本机ping其他主机
iptables -a input -p icmp --icmp-type 0 -j accept
iptables -a input -p icmp --icmp-type 3 -j accept
iptables -a input -p icmp -j drop
iptables -p icmp -h //查看可用的icmp协议类型
允许loopback!(不然会导致dns无法正常关闭等问题)
iptables -a input -i lo -p all -j accept (如果是input drop)
iptables -a output -o lo -p all -j accept(如果是output drop)
iptables -p input drop //开放相关端口,对发给本机的tcp应答数据包予以放行,其他入站数据包都丢弃
iptables -i input -p tcp -m multiport --dport 80,20,21,53 -j accept
iptables -i input -p tcp -m state --state established -j accept
iptables -a output -p tcp --sport 31337 -j drop //减少不安全的端口连接
iptables -a output -p tcp --dport 31337 -j drop //减少不安全的端口连接
service iptables save //保存
systemctl restart iptables.service //重启
systemctl enable iptables.service //开机启动
5.其他用法
iptables -a input -p tcp -m multiport --dport 25,80,110,143 -j accept //允许本机开放25、80、110、143端口,以便提供电子邮件服务
iptables -a input -s 192.168.10.1 -p tcp --dport 22 -j accept //设置只允许某个ip的端口访问
iptables -a forward -p tcp -m iprange --src-range 192.168.10.1-192.168.10.100 -j accept //允许转发192.168.10.1-192.168.10.100之间的tcp数据包
iptables -a input -m mac --mac-source 00:50:2e:cf:44:3f -j drop //禁止其mac地址访问本机的任何应用