/etc/rc.d/init.d/iptables save
/etc/sysconfig/iptables
文件里了.service iptables restart
iptables -L -n
查询当前iptables的规则
iptables -F
清除预设表fliter中的所有规则链的规则
iptabl e -X (OUTPUT)
可以指定链清理 清除预设表filter中使用者自定链中的规则
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
(INPUT FORWARD)
而对于OUTPUT
我们没有过多的限制 如果输出的不在我们的规则里面即通过
iptables -t filter -A OUTPUT -s 192.168.31.210 -d 192.168.31.211 -p tcp --dport 22 -j ACCEPT
参数效果 -t指定表-s指定输入源-d指定接收-p tcp指定协议--dport指定端口-j指定规则
iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
iptables -A OUTPUT -p tcp --sport 31337 -j DROP
这个是可以任何ip访问 只是开放了端口
开启ftp服务
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT
ipset
ipset create xxx hash:net
(也可以是hash:ip ,这指的是单个ip,xxx是ipset名称)
ipset
默认可以存储65536
个元素,使用maxelem
指定数量
ipset create blacklist hash:net maxelem 1000000
#黑名单
ipset create whitelist hash:net maxelem 1000000
#白名单
ipset
ipset list
ip
ipset add blacklist 10.60.10.xx
ip
ipset del blacklist 10.60.10.xx
allset
这个IP
集里的ip
都无法访问80
端口(如:CC攻击可用
)iptables -I INPUT -m set –match-set blacklist src -p tcp -j DROP
iptables -I INPUT -m set –match-set whitelist src -p tcp -j DROP
service iptables save
iptables -I INPUT -m set –match-set setname src -p tcp –destination-port 80 -j DROP
ipset
规则保存到文件
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt
ipset
ipset destroy blacklist
ipset destroy whitelist
ipset
规则
ipset restore -f blacklist.txt
ipset restore -f whitelist.txt
ipset
的一个优势是集合可以动态的修改,即使ipset
的iptables
规则目前已经启动,新加的入ipset
的ip
也生效本文为作者原创,手码不易,允许转载,转载后请以链接形式说明文章出处。