Iptables的几点实用方法

浏览:
字体:
发布时间:2013-12-09 23:23:33
来源:
在我们的日常运维工作中,经常要用到Iptables这个工具来设置IP信息包过滤和防火墙配置,首先,Iptables的配置文件为/etc/sysconfig/iptables,所有的规则都是要写到这个文件里的,不然重启后就会失效。
1、IPtables通常包括三个表格(Fliter、NAT、Mangle)
filter∶主要跟Linux本机有关,是预设的table。通常下面有三个链(chain):
INPUT∶主要与数据包想要进入我们Linux本机有关;
OUTPUT∶主要与Linux本机所要送出的数据有关;
FORWARD∶这个与Linux本机比较没有关系,他可以将数据包转发到后端的电脑中,与nat这个table相关
NAT:主要用来做源与目的IP或者端口的转换,与linux本机无关。
PREROUTING∶在进行路由判断之前所要进行的规则(DNAT/REDIRECT)POSTROUTING∶在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)OUTPUT∶与发送出去的封包有关
mangle∶这个表格主要是与特殊的封包的路由旗标有关,早期仅有PREROUTING及OUTPUT链,不过从kernel2.4.18之后加入了INPUT及FORWARD链。由于这个表格与特殊旗标相关性较高,所以像咱们这种单纯的环境当中,较少使用mangle这个表格
2、Iptables的常用命令
查看iptables现有规则:
#iptables-L-n
清除现有iptables规则:
#iptables-F#清除预设表filter中的所有规则链的规则:
允许局域网内192.168.0.0/24的所有主机访问代理服务器,除了192.168.0.3这台主机:
#iptables-AINPUT-ieth0-s192.168.0.3-jDROP
#iptables-AINPUT-ieth0-s192.168.0.0/24-jACCEPT
将来自eth0的数据包全部接收:
#iptables-AINPUT-ieth0-jACCEPT
将服务器80端口重定向到8080端口:
#iptables-tnat-APREROUTING-Ptcp--dport80-jREDIRECT--to-ports8080
使服务器允许来自网络接口eth1,并且来源端口为80的数据进入服务器:
#iptables-AINPUT-ieth1-ptcp--sport80-jACCEPT
让服务器的80端口对外开放:
#iptables-AINPUT-ieth0-ptcp--dport80-jACCEPT
允许来自外部的ping测试
#iptables-AINPUT-picmp--icmp-typeecho-request-jACCEPT
#iptables-AOUTPUT-picmp--icmp-typeecho-reply-jACCEPT
仅允许来自指定网络的SSH连接请求
以下规则仅允许来自192.168.100.0/24的网络:
#iptables-AINPUT-ieth0-ptcp-s192.168.100.0/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT
#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
允许出站DNS连接
#iptables-AOUTPUT-pudp-oeth0--dport53-jACCEPT
#iptables-AINPUT-pudp-ieth0--sport53-jACCEPT
 
>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2023 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();