1. 如何查看linux的iptables配置
iptables -nL
如果想查看其它表的話就需要指定表明,如NAT等。
2. 請教iptables監控本機流量,IP,異常.配置或查看方法
Linux下使用iftop工具結合iptables服務來解決帶寬資源被惡意請求滿的問題,主要通過2個步驟來實現;1.使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源,找出耗帶寬的元兇2.找出耗帶寬的IP地址或者段,分析是out方向還是in方向,使用iptables規則來進行控制具體的詳細操作方法如下;一但出現帶寬被惡意請求,在帶寬被請滿的情況下基本上很難通過網路登入到伺服器上進行操作跟維護,這時我們需要通過阿里雲提供的「連接管理終端」服務來登入系統一般建議在主機正常的時候直接在伺服器內部安裝好iftop工具,這樣出現惡意請求的時候直接可以使用該工具來進行排查,下面介紹下iftop的2中安裝方法1.使用yum安裝iftop工具使用yum安裝的話比較簡單,只要直接執行yuminstalliftop–y命令即可,如果沒問題的話系統就會自動執行安裝,但是有使用yum可能安裝不了,這時就需要使用編譯安裝了2.編譯安裝iftop工具(1)下載iftop工具的源碼包;http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz(2)CentOS下安裝所需的依賴包-devellibpcap-devel(3解壓縮下載的iftop文件tarzxvfiftop-0.17.tar.gz(4進入到解壓的的iftop目錄中cdiftop-0.17配置並制定安裝目錄為/usr/local/iftop目錄下(5./configure–prefix=/usr/local/iftop(6)編譯並安裝make&&makeinstall安裝完成以後直接使用/usr/local/iftop/sbin/iftop啟動iftop程序查看流量使用情況,如果想使用iftop的方式直接開啟程序,需要將iftop的程序添加到環境變數中即可結合使用iptables服務來限制惡意請求的流量;iftop–ieth1查看eth1這塊外網網卡的流量使用情況通過上面這張信息很清楚的看到,121.199這台伺服器一直往192.230.123.101這個地址發送流量,而且出去產生的流量相當大,幾乎把整個出網帶寬都給耗盡了查到了惡意請求的原因跟目標主機以後,我們就可以使用iptables服務來對這種惡意行為進行限制了,因為從查看到的數據看主要的流量是從out方向出去的,那就直接在OUT方向設置策略Iptables-AOUTPUT-d192.230.123.101–jREJECT這里可能還會發現一個情況就是禁用了這個1個IP以後可能這個段的其它IP地址都有可能馬上就接上繼續請求,那就可以針對一個段來進行限制iptables-AOUTPUT-d192.230.0.0/16-jREJECT策略加上以後可以再使用iftop–ieth1來查看流量的請求情況;可以查看到流量已經恢復了正常,之前的惡意請求的地址都已經被防火牆給屏蔽了,效果比較好另外iftop還有很多的參數可以實現比較多的功能,有時間的話可以研究研究,對排查網路流量攻擊以及掌控流量使用很有幫助的
3. Linux防火牆iptables限制幾個特定ip才能訪問伺服器。
linux下要使用iptables限制只有指定的ip才能訪問本機則需要先設置一個默認的規則
iptables有默認的規則,它可以適用於所有的訪問
因為只有指定或特定的ip地址才能訪問本機
所以可以將默認的規則設置為所有訪問全部阻止(當然這里需要注意下,如果你要設置的機器是在遠端,比如vps則需要注意在設置默認規則的同時要將與該伺服器鏈接的ip添加進白名單,否則在設置完默認阻止後你也無法訪問這台伺服器,也無法再進行操作了,我們可以使用分號;或者&&來在同一個命令行下來完成默認阻止和將自己的ip添加進白名單,假如你的ip地址為1.2.3.4則可以這樣輸入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT,或者也可以指定一個埠)
設置默認規則後則可以添加白名單了
比如允許2.3.4.5訪問則可以
iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT
如果要限定的不是整個伺服器而只是該伺服器中的某個服務
比如web服務(一般埠在80,https在443)
則我們可以使用0.0.0.0/0來阻止所有的ip地址
比如
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
以及
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP
來阻止所有訪問web伺服器的ip地址
然後再添加指定的ip到白名單
比如添加1.2.3.4,我們可以
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT
如果我們允許某個網段下的所有ip都可以訪問的話比如1.2.3.[0-255],我們可以
iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT
總之不管是阻止所有的服務還是只阻止指定的服務
我們可以先將默認的規則設置為所有ip都不可訪問
然後再手動添加ip地址到白名單
4. linux下查看iptables開放了哪些埠的命令是什麼
netstat -a //查看所有開放的埠
可以netstat --help看下幫助,這個命令是網路相關的
5. linux下iptables如何過濾同一網段的連續幾個IP
過濾源地址范圍:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
過濾目標地址范圍:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
6. linux下實用iptables封ip段,從IP段裡面解除一個IP
在這個之前加一個允許這個IP的命令
7. 如何使用 IPTables 限制Ip訪問
可以先去下載tuziip軟體使用就能換個IP地址訪問的
手機電腦都支持連接使用的哦
8. 如何使用Linux的iptables來限制某些IP
寫防火復牆規則就可制以了。
例如:(1)允許192.168.1.0/24網段的主機訪問Linux系統
防火牆規則:iptables -A INPUT -s 192.168.1.0/24 -j ACCRPT
(2)拒絕來自192.168.5.8的主機訪問Linux系統
防火牆規則為:iptables -A INPUT -s 192.168.5.8 -j DROP
根據不同的要求來編寫不同的規則就可以了...
9. Linux下如何用iptables限制某段IP訪問伺服器
比如:要禁止22.22.0.0/24這個段的ip
iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP
service iptables restart
iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP這句話理解下
-A add的意思:附件到
INPUT 進入的流量這個鏈
-p tcp 對應的協回議tcp
-s 22.22.0.0/24 source ip原地址為22.22.0.0/24這個段
-j DROP jump drop 跳轉到忽答略操作