Iptables的几点实用方法
在我们的日常运维工作中,经常要用到Iptables这个工具来设置IP信息包过滤和防火墙配置,首先,Iptables的配置文件为/etc/sysconfig/iptables,所有的规则都是要写到这个文件里的,不然重启后就会失效。
1、IPtables通常包括三个表格(Fliter、NAT、Mangle)
filter∶主要跟Linux本机有关,是预设的table。通常下面有三个链(chain):
INPUT∶主要与数据包想要进入我们Linux本机有关;
OUTPUT∶主要与Linux本机所要送出的数据有关;
FORWARD∶这个与Linux本机比较没有关系,他可以将数据包转发到后端的电脑中,与nat这个table相关
NAT:主要用来做源与目的IP或者端口的转换,与linux本机无关。
PREROUTING∶在进行路由判断之前所要进行的规则(DNAT/REDIRECT)POSTROUTING∶在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)OUTPUT∶与发送出去的封包有关
mangle∶这个表格主要是与特殊的封包的路由旗标有关,早期仅有PREROUTING及OUTPUT链,不过从kernel2.4.18之后加入了INPUT及FORWARD链。由于这个表格与特殊旗标相关性较高,所以像咱们这种单纯的环境当中,较少使用mangle这个表格
2、Iptables的常用命令
查看iptables现有规则:
#iptables-L-n
清除现有iptables规则:
#iptables-F#清除预设表filter中的所有规则链的规则:
允许局域网内192.168.0.0/24的所有主机访问代理服务器,除了192.168.0.3这台主机:
#iptables-AINPUT-ieth0-s192.168.0.3-jDROP
#iptables-AINPUT-ieth0-s192.168.0.0/24-jACCEPT
将来自eth0的数据包全部接收:
#iptables-AINPUT-ieth0-jACCEPT
将服务器80端口重定向到8080端口:
#iptables-tnat-APREROUTING-Ptcp--dport80-jREDIRECT--to-ports8080
使服务器允许来自网络接口eth1,并且来源端口为80的数据进入服务器:
#iptables-AINPUT-ieth1-ptcp--sport80-jACCEPT
让服务器的80端口对外开放:
#iptables-AINPUT-ieth0-ptcp--dport80-jACCEPT
允许来自外部的ping测试
以下规则仅允许来自192.168.100.0/24的网络:
1、IPtables通常包括三个表格(Fliter、NAT、Mangle)
filter∶主要跟Linux本机有关,是预设的table。通常下面有三个链(chain):
INPUT∶主要与数据包想要进入我们Linux本机有关;
OUTPUT∶主要与Linux本机所要送出的数据有关;
FORWARD∶这个与Linux本机比较没有关系,他可以将数据包转发到后端的电脑中,与nat这个table相关
NAT:主要用来做源与目的IP或者端口的转换,与linux本机无关。
PREROUTING∶在进行路由判断之前所要进行的规则(DNAT/REDIRECT)POSTROUTING∶在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)OUTPUT∶与发送出去的封包有关
mangle∶这个表格主要是与特殊的封包的路由旗标有关,早期仅有PREROUTING及OUTPUT链,不过从kernel2.4.18之后加入了INPUT及FORWARD链。由于这个表格与特殊旗标相关性较高,所以像咱们这种单纯的环境当中,较少使用mangle这个表格
2、Iptables的常用命令
查看iptables现有规则:
#iptables-L-n
清除现有iptables规则:
#iptables-F#清除预设表filter中的所有规则链的规则:
允许局域网内192.168.0.0/24的所有主机访问代理服务器,除了192.168.0.3这台主机:
#iptables-AINPUT-ieth0-s192.168.0.3-jDROP
#iptables-AINPUT-ieth0-s192.168.0.0/24-jACCEPT
将来自eth0的数据包全部接收:
#iptables-AINPUT-ieth0-jACCEPT
将服务器80端口重定向到8080端口:
#iptables-tnat-APREROUTING-Ptcp--dport80-jREDIRECT--to-ports8080
使服务器允许来自网络接口eth1,并且来源端口为80的数据进入服务器:
#iptables-AINPUT-ieth1-ptcp--sport80-jACCEPT
让服务器的80端口对外开放:
#iptables-AINPUT-ieth0-ptcp--dport80-jACCEPT
允许来自外部的ping测试
#iptables-AINPUT-picmp--icmp-typeecho-request-jACCEPT
#iptables-AOUTPUT-picmp--icmp-typeecho-reply-jACCEPT仅允许来自指定网络的SSH连接请求
以下规则仅允许来自192.168.100.0/24的网络:
#iptables-AINPUT-ieth0-ptcp-s192.168.100.0/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT
#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT允许出站DNS连接
#iptables-AOUTPUT-pudp-oeth0--dport53-jACCEPT
#iptables-AINPUT-pudp-ieth0--sport53-jACCEPT
>更多相关文章
- 08-05Rootkit隐藏进程和端口检测
- 08-05在基于意图的隔离面前 零信任也认怂
- 08-05拼多多一夜被薅200多亿?
- 08-05你已关闭了的浏览器还可能被利用来挖矿, chrome已中招
- 08-05用Ftype命令让病毒白白运行
- 08-05天才黑客:2个学位 会开飞机 工作在NASA 年仅17
- 11-06深度揭秘黑客6种常见攻击方式
- 09-23黑客高手教您如何预防流量僵尸?
首页推荐
佛山市东联科技有限公司一直秉承“一切以用户价值为依归
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复
相关文章
24小时热门资讯
24小时回复排行
热门推荐
最新资讯
操作系统
黑客防御