Linux笔记-iptables开放指定端口 开放ICMP协议 其他端口禁止访问

下面实现3个规则：

①对所有的地址开放本机的tcp（80、22、10~21）端口的访问。

②运行对所有地址开放本机的基于ICMP协议的数据包访问。

③其他未允许的端口则禁止访问。

#查看本机开放的端口netstat -luntp

[root@bogon ~]# netstat -luntpActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 00 0.0.0.0:111 0.0.0.0:*LISTEN1/systemd tcp 00 0.0.0.0:6000 0.0.0.0:*LISTEN9215/X tcp 00 192.168.122.1:53 0.0.0.0:*LISTEN9106/dnsmasq tcp 00 0.0.0.0:22 0.0.0.0:*LISTEN8591/sshd tcp 00 127.0.0.1:631 0.0.0.0:*LISTEN8587/cupsdtcp 00 127.0.0.1:25 0.0.0.0:*LISTEN9024/master tcp 00 127.0.0.1:60100.0.0.0:*LISTEN0/sshd: root@pt tcp 00 127.0.0.1:60110.0.0.0:*LISTEN20313/sshd: root@pt tcp6 00 :::111 :::*LISTEN1/systemd tcp6 00 :::6000 :::*LISTEN9215/X tcp6 00 :::22 :::*LISTEN8591/sshd tcp6 00 ::1:631 :::*LISTEN8587/cupsdtcp6 00 ::1:25 :::*LISTEN9024/master tcp6 00 ::1:6010:::*LISTEN0/sshd: root@pt tcp6 00 ::1:6011:::*LISTEN20313/sshd: root@pt udp 00 0.0.0.0:50213 0.0.0.0:* 8206/avahi-daemon: udp 00 0.0.0.0:5353 0.0.0.0:* 8206/avahi-daemon: udp 00 192.168.122.1:53 0.0.0.0:* 9106/dnsmasq udp 00 0.0.0.0:67 0.0.0.0:* 9106/dnsmasq udp 00 0.0.0.0:68 0.0.0.0:* 20242/dhclientudp 00 0.0.0.0:111 0.0.0.0:* 1/systemd udp 00 127.0.0.1:323 0.0.0.0:* 8237/chronyd udp 00 0.0.0.0:693 0.0.0.0:* 8158/rpcbind udp6 00 :::111 :::* 1/systemd udp6 00 ::1:323 :::* 8237/chronyd udp6 00 :::693 :::* 8158/rpcbind [root@bogon ~]#

查看iptables版本

iptables -v

[root@bogon ~]# iptables -viptables v1.4.21: no command specifiedTry `iptables -h' or 'iptables --help' for more information.[root@bogon ~]#

查看iptables配置的链，-n是让主机名等不显示

iptable -nL

[root@bogon ~]# iptables -nLChain INPUT (policy ACCEPT)targetprot opt sourcedestination Chain FORWARD (policy ACCEPT)targetprot opt sourcedestination Chain OUTPUT (policy ACCEPT)targetprot opt sourcedestination [root@bogon ~]#

设置80端口可以访问，设置22端口可以访问，不然ssh就不能登录了，设置10~21都允许访问。

iptables -I INPUT -p tcp --dport 80 -j ACCEPTiptables -I INPUT -p tcp --dport 22 -j ACCEPTiptables -I INPUT -p tcp --dport 10:21 -j ACCEPT

此时配置的策略有：

[root@bogon ~]# iptables -nLChain INPUT (policy ACCEPT)targetprot opt sourcedestination ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:10:21ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80Chain FORWARD (policy ACCEPT)targetprot opt sourcedestination Chain OUTPUT (policy ACCEPT)targetprot opt sourcedestination

再支持ICMP协议，然后-A，在最后添加一条拒绝所有的规则。

iptables -I INPUT -p icmp -j ACCEPTiptables -A INPUT -j REJECT

这里就实现了上面的3个规则，对应的策略是这样的。

[root@bogon ~]# iptables -nLChain INPUT (policy ACCEPT)targetprot opt sourcedestination ACCEPTicmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:10:21ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22ACCEPTtcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80REJECTall -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain FORWARD (policy ACCEPT)targetprot opt sourcedestination Chain OUTPUT (policy ACCEPT)targetprot opt sourcedestination