iptables -vnL --line-numbers 查看防火牆,帶編號顯示
iptables -vnxL 查看防火牆接收到的包的詳細數量
REGECT 沒有拒絕訪問,用ping命令客戶端顯示防火牆拒絕
內核中選取五個位置放了五個hook(勾子) function(INPUT、 OUTPUT、 FORWARD、
PREROUTING、 POSTROUTING),而這五個hook function向用戶開放,用戶可以通過一
由信息過濾表(table)組成,包含控制IP包處理的規則集(rules),規則被分組放
流入本機:PREROUTING --> INPUT-->用戶空間進程
流出本機:用戶空間進程 -->OUTPUT--> POSTROUTING
轉發:PREROUTING --> FORWARD --> POSTROUTING
filter 過濾規則表,根據自定義的規則過濾符合條件的數據包
優先級由高到低的順序爲:raw-->mangle-->nat-->filter
mangle表:prerouting postpouting INPUT OUTPUT FORWARD
nat 表:prerouting postpouting INPUT OUTPUT
iptables -A INPUT -s 192.168.63.131 -j DROP 拒絕192.168.63.131訪問
iptables -D INPUT 1 刪除1編號的防火牆記錄
iptables -A INPUT -s 192.168.63.0/24 -j REJECT 明確拒絕192.168.63.0/24網段訪問
iptables -I INPUT 2 -s 192.168.63.131 -j ACCEPT 在第2條記錄前面加一條記錄,允許192.168.63.131 訪問
iptables -A INPUT -s 192.168.63.1 -j ACCEPT 允許192.168.63.1訪問。在虛擬機,允許windows訪問
iptables -P INPUT DROP 默認的規則改成DROP,當然修改這一條規則的時候,應該先允許自己允許通過。修改爲默認規則以後就變成DROP ,所有都拒絕
iptables -A INPUT -j DROP 建議使用這條命令更改
iptables -R INPUT 2 -s 192.168.63.17 -j ACCEPT 修改第2條規則爲ACCEPT
iptables -A INPUT -s 192.168.63.134 -p icmp -j REJECT
也可以指定目標地址,拒絕192.168.63.131訪問192.168.63.132的tcp協議
iptables -A INPUT -s 192.168.63.131 -d 192.168.63.132 -p tcp -j REJECT
拒絕別的主機訪問本機的tcp協議的445和139端口,也就是Samba訪問
iptables -A INPUT -s 192.168.63.132 -p tcp --dport 445 -j REJECT
iptables -A INPUT -s 192.168.63.132 -p tcp --dport 139 -j REJECT
iptables -A INPUT -p tcp --syn -j REJECT
iptables -A INPUT -p icmp -j REJECT
iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
iptables -A INPUT -p tcp -m multiport --dports 21,80 -j REJECT
******************************************************************************************************8
iptables -A INPUT -s 192.168.63.1 -j REJECT
iptables -I INPUT -s 192.168.30.0/24 -j WEB 當192.168.30.0/24網段訪問的時候,去WEB鏈中去查看規則。如果不是192.168.30.0/24網段中的ip訪問,則去INPUT查看規則
如果企業在後來來增加了一個8080端口,我們只要在web鏈中加入一條規則,這樣就可以實現模塊化的管理
iptables -D INPUT 1 例如WEB在INPUT中的編號是1
************************************************************************************************8888
iptables中的時間是UTP時間,所有得在現有的時間減8小時
iptables-restore < /etc/iptables-20180629
####################################################################33
###################################################################3