标签:-o /usr input _for 默认 chain col 通过 ado
一、fileter表案例需求:只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.204.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。
这个需求不算复杂,但是因为有多条规则,所以最好写成脚本的形式。脚本内容如下:
[root@zlinux ~]# cat /usr/local/sbin//iptables.sh
cat: /usr/local/sbin//iptables.sh: 没有那个文件或目录
[root@zlinux ~]# vim !$
vim /usr/local/sbin//iptables.sh
#! /bin/bash
ipt="/sbin/iptables"
$ipt -F //清空规则
$ipt -P INPUT DROP //指定INPUT链默认动作DROP
$ipt -P OUTPUT ACCEPT //指定OUTPUT链默认动作ACCEPT
$ipt -P FORWARD ACCEPT //指定OUTPUT链默认动作ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //指定状态放行
$ipt -A INPUT -s 192.168.204.0/24 -p tcp --dport 22 -j ACCEPT //针对ip段开通22端口
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT //对所有网段开通80端口
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT //对所有网段开通21端口
然后执行脚本:
# sh /usr/local/sbin/iptables.sh
可以看到包的数量是在变化的。
关于icmp的包有一个比较常见的应用:
[root@zlinux ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP--icmp-type 这个选项是要跟-p icmp 一起使用的,后面指定类型编号。这个8指的是能在本机ping通其他机器,而其他机器不能ping通本机。这个有必要记一下。
linux的iptables功能是十分强大的,只有想不到没有做不到!也就是说只要你能够想到的关于网络的应用,linux都能帮你实现。在日常生活中相信你接触过路由器吧,它的功能就是分享上网。本来一根网线过来(其实只有一个公网IP),通过路由器后,路由器分配了一个网段(私网IP),这样连接路由器的多台pc都能连接intnet而远端的设备认为你的IP就是那个连接路由器的公网IP。这个路由器的功能其实就是由linux的iptables实现的,而iptables又是通过nat表作用而实现的这个功能。那么直接来举例说明:
现有条件:
A机器两块网卡ens33(192.168.204.128)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。
为达到实验条件,先准备两台虚拟机:
1、在VMware克隆一下现有的虚拟机(A机器),并把克隆的虚拟机命名为zhulinux2(B机器);
2、对A机器的网卡进行增加,并且设置成LAN区段为“自定义区段”,表示内部网络地址;
3、对B机器的网卡设置成ens37,IP地址192.168.100.100/24,并把网络适配器改成LAN区段,与A机器一样,如下图所示:
4、设置A机器ens37网址;
5、设置B机器的ens37网址,先关闭ens33网卡,因为可以访问外网:
需求:
1、可以让B机器连接外网:
A机器操作:
[root@zlinux ~]# echo "1">/proc/sys/net/ipv4/ip_forward //打开路由转发功能
[root@zlinux ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADEB机器操作,设置默认网关,设置好之后就可以连接外网了:
这个ping百度,是因为设置了dns。
2、C机器只能和A通信,让C机器可以直接连通B机器的22端口:
A机器操作:
[root@zlinux ~]# iptables -t nat -A PREROUTING -d 192.168.204.128 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
[root@zlinux ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.204.128
[root@zlinux ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.204.128 tcp dpt:1122 to:192.168.100.100:22
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 213 MASQUERADE all -- * ens33 192.168.100.0/24 0.0.0.0/0
0 0 SNAT all -- * * 192.168.100.100 0.0.0.0/0 to:192.168.204.128
至此,连接成功。
标签:-o /usr input _for 默认 chain col 通过 ado
原文地址:http://blog.51cto.com/3069201/2065077
