iptables用法

https://www.cnblogs.com/chinaifae/p/10190972.html

在terminal中输入iptables然后

service iptables save

保存到

cat /etc/sysconfig/iptables

编辑/etc/sysconfig/iptables

service iptables restart

应用到iptables

禁止特定ip访问8501端口的命令:iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j DROP

允许特定ip访问8501端口的命令:iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j ACCEPT

https://www.zuimoban.com/jiaocheng/mysql/2637.html

只允许指定的ip访问服务器某一端口,其余全部禁止

由于历史原因,服务器不能马上搬迁到云主机。服务器的备份不得不进行跨机房操作。那么问题来了,Mysql主从是需要打通服务IP进行操作的。也就说服务器不得不对外开放3306端口。

尽管Mysql账号设置上可以限制IP访问,但作为安全方面考虑,应该结合Linux自身的防火墙机制(iptables)进行全面的限制,慎防某些意外事情发生。下面给出简单得命令即可实现只有指定的IP可以远程访问Mysql

-A INPUT -s 127.0.0.1 -m tcp -p tcp –-dport 3306 -j ACCEPT #允许本地主机访问
-A INPUT -s 允许访问的IP地址 -m tcp -p tcp –-dport 3306 -j ACCEPT #允许指定的IP访问
-A INPUT -p tcp --dport 3306 -j DROP #屏蔽所有外部访问

$ sudo iptables -A INPUT -s 222.66.149.90 -m tcp -p tcp --dport 10029 -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport 10029 -j DROP

开放ssh端口
root@test:/home/test# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
禁止ssh登录
root@test:/home/test# iptables -I INPUT -p tcp --dport 22 -j DROP
可以上外网
root@test:/home/test# iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
禁止上外网
root@test:/home/test# iptables -I OUTPUT -p tcp --dport 80 -j DROP
禁止上所有的网络
root@test:/home/test# iptables -P OUTPUT DROP
ping不通www.baidu.com
iptables -A OUTPUT -d www.baidu.com  -j REJECT
禁止访问百度
root@test:/home/test# iptables -P INPUT ACCEPT
root@test:/home/test# iptables -A OUTPUT ACCEPT
root@test:/home/test# iptables -A OUTPUT -p tcp -d www.baidu.com --dport 80 -j DROP
删除某条规则
root@test:/home/test# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy DROP)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            114.80.130.89        tcp dpt:80
DROP       tcp  --  0.0.0.0/0            115.239.210.27       tcp dpt:80
root@test:/home/test# iptables -D OUTPUT 1
root@test:/home/test# 
禁止ping
root@test:/home/test# iptables -A OUTPUT -p icmp -j DROP
只允许192.168.6.103登录ssh
root@test:/home/test# iptables -A INPUT -s 192.168.6.103 -p tcp --dport 22 -j ACCEPT
端口转发,对本机80端口的访问会转发到8088端口
root@test:/var/www/html# iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j DNAT --to 127.0.0.1:8088
root@test:/etc/squid3# iptables -t nat -A PREROUTING -p tcp -i wlan0 -d 192.168.6.100 --dport 80 -j DNAT --to 192.168.6.100:8088
透明代理
root@test:/var/log/squid3# iptables -t nat -A PREROUTING -i wlan0 -s 192.168.6.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#客户机ip=192.168.6.103的机器,当访问我=192.168.6.100时,那么让他访问我的8088端口
root@test:/etc/squid3# iptables -t nat -A PREROUTING -i wlan0 -s 192.168.6.103 -p tcp --dport 80 -j REDIRECT --to-port 8088
:56,$s/\(\d\{4\}\)//gc #替换四位数 
iptables -F -t nat
iptables -F
iptables -X
iptables -P FORWARD ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to 192.168.6.100
那么本机访问所有的网站都定位当192.168.6.100
#http://blog.chinaunix.net/uid-21880738-id-2982120.html

    A+
发布日期:2021年08月03日  所属分类:未分类

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: