-I参数默认是将一条规则添加到现有规则链的最前面,当然也可以指定插入到第几行 行数可以用数字来指定 比如说将一条规则添加到某一条链的第三行 那么原来在第三行的规则就会降到下一行第四行。例如: iptables-I 3INPUT ... cat /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0...
链尾的规则匹配优先级最低,如果前面有规则被匹配后,并将数据包进行了终态处理(比如:ACCEPT, DROP, REJECT),那么链尾的规则将永远不会被使用。 如果我们想要该规则优先匹配,可以选择将其放入链首,使用-I参数,表示insert。举例: iptables -t filter -I INPUT -s 59.45.175.62 -j REJECT 删除规则 想要删除已配...
-d <地址>[/掩码] 匹配目的地址,可以是IP,网段,域名,主机名或空(任何地址) -i <网络接口> 匹配数据包进入的网络接口,此参数主要用于nat表 -o <网络接口> 匹配数据包流出的接口 --sport <端口> 匹配数据包来源端口,可以是单个,也可以是范围 --dport <端口> 匹配数据包目的端口,可以是单个,也可以是范围...
service iptables status#查询状态 iptables -L -v#建议查看表时,带上-v参数,会显示in out 方向等信息,显示的信息更完整、详细。 iptables -A INPUT -i eth0 -s192.168.0.0/16 -j ACCEPT #针对INPUT链增加一条规则,接收从eth0口进入且源地址为192.168.0.0/16网段发往本机的数据 iptables -D#删除规则,命...
-A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # (ssh端口) -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # (web端口) -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT # (ft...
iptables -A INPUT -i lo -j ACCEPT (2) 允许接收——状态为ESTABLISHED或RELATED的包 iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 等服务器功能完全确定后,可以根据实际运行的情况,将这条规则替换为多条更细化的规则,以追求“只让所有必需流量通过”的iptables配置理念。-m conntr...
允许特定ip访问8080端口的命令2:iptables -I INPUT -s 192.168.227.133 -ptcp --dport 8080 -j ACCEPT ```其中命令1执行的次数要和命令0相等才能访问,比如命令0执行了2次,那么命令1也得执行2次才有效,但命令2执行一次即可 ### 查看iptables防火墙设置情况 ```iptables -L -n ## 查看含有DROP的信息...
iptables-I:在规则链的头部加入新规则 iptables-R:替换规则链中的规则 # 链管理命令 iptables-F:清空规则链 iptables-Z:清空规则链中的数据包计算器和字节计数器 iptables-N:创建新的用户自定义规则链 iptables-P:设置规则链中的默认策略 # 通用匹配参数-t ...
iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT #允许机房内网机器可以访问 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开启80端口,因为web对外都是这个端口(可选) iptables -I INPUT -p tcp --dport 2707 -j DROP #拒绝2707端口所有访问 ...