linux下iptables封ip或ip段的一些常见命令
星期四, 十二月 16th, 2010封单个IP的命令是:
iptables -I INPUT -s 58.61.156.160 -j DROP
或
iptables -A INPUT -s 58.61.156.160 -j DROP
禁止服务器访问此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
封IP段的命令是:
iptables -I INPUT -s 58.61.0.0/16 -j DROP
iptables -I INPUT -s 58.60.0.0/16 -j DROP
iptables -I INPUT -s 58.59.0.0/16 -j DROP
封整个段的命令是:
iptables -I INPUT -s 58.0.0.0/8 -j DROP
封几个段的命令是:
iptables -I INPUT -s 58.61.157.0/24 -j DROP
iptables -I INPUT -s 58.61.156.0/24 -j DROP
想在服务器启动自运行的话有三个方法:
1、把它加到/etc/rc.local中
2、iptables-save >/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启
动iptables时自动执行。
3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动
执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全。
4、开机后自启动防火墙的设定
命令行输入 #ntsysv
在gui中选上iptables后。确认
5.简单配置防火墙规则
# setup选择
防火墙配置–》定制–》在“其他端口”中输入要开放的端口, 例:1723
ip地址和网关可以再setup中设定
#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP
iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP
#一键清空所有规则
iptables -F 全清掉了 注意:慎用
#查看
iptables -L INPUT
或
iptables -L
或
iptables-save
#处理IP碎片数量,防止攻击,允许每秒100个
iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
