老程序员博客

编程生涯的最后一舞

当前位置:首页 > 技术 > 正文内容

Linux iptables 防火墙配置速查手册

访客 技术 2026年6月22日 7

iptables 安装方式

yum install iptables

清空现有规则

iptables -F
iptables -X
iptables -Z

开放特定端口配置

允许本地回环接口通信(本机访问本机):

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允许所有出站流量:

iptables -A OUTPUT -j ACCEPT

开放 SSH(22端口):

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放 HTTP(80端口):

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

允许特定 IP 访问 SSH:

iptables -I INPUT -s 192.168.0.19 -p tcp --dport 22 -j ACCEPT

拒绝所有未明确允许的入站和转发流量:

iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT

IP 屏蔽操作

屏蔽单个 IP:

iptables -I INPUT -s 123.45.6.7 -j DROP

屏蔽整个 /8 网段(123.0.0.0 至 123.255.255.255):

iptables -I INPUT -s 123.0.0.0/8 -j DROP

屏蔽 /16 网段(124.45.0.0 至 124.45.255.255):

iptables -I INPUT -s 124.45.0.0/16 -j DROP

屏蔽 /24 网段(123.45.6.0 至 123.45.6.255):

iptables -I INPUT -s 123.45.6.0/24 -j DROP

规则管理与维护

列出所有规则:

iptables -L -n

显示规则序号:

iptables -nL --line-number

删除指定规则(例如删除 INPUT 链中序号为 8 的规则):

iptables -D INPUT 8

保存当前规则:

service iptables save

重启 iptables 服务:

service iptables restart

配置文件路径

vi /etc/sysconfig/iptables

FTP 传输配置

开放主动模式 21 端口:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

加载 FTP 关联模块:

modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

允许已建立或相关的连接通过:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

限制特定 IP 访问特定端口

仅允许指定 IP 访问 SSH:

iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --sport 22 -j ACCEPT

注意:对于入站数据,--dport 表示目标端口(服务端监听端口);对于出站数据,--sport 表示源端口(本地发送端口)。-s 指定源地址,-d 指定目标地址。

默认策略设置

将所有链默认策略设为丢弃:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

yum 下载所需规则

yum 软件包管理器通常使用动态高端口,需要精心配置规则:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000:65535 -j ACCEPT

Ping 控制

允许 Ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

禁止 Ping:

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
标签: iptablesLinux防火墙网络安全端口管理
返回列表

上一篇:线性多智能体系统动态事件触发控制方法研究

下一篇:基于两步法系统辨识的玻璃管生产线鲁棒控制策略

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.