标签:iptables
1、iptables的组成:内核态:集成在内核里的功能。用户态:安装服务的软件包后提供的管理命令2、iptables服务的功能:查看,修改,删除,添加规则
3、iptables的组成:
功能 表 链
ip包过滤: filter INPUT,FORWARD,OUTPUT
网络地址转换: nat PREROUTING,POSTROUTING,OUTPUT
对ip包打标记: mangle PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
做状态跟踪: raw PREROUTING, OUTPUT
方向 链
进入防火墙主机 INPUT
经过防火墙主机 FORWARD
从防火墙主机出去的 OUTPUT
路由前 PREROUTING
路由后 POSTROUTING
4、基本语法规则: iptables -t 表名 管理选项 链名 匹配规则 -j 处理动作
A、管理选项:-L 查看 ,-F 清除,-D 清除某一个规则,-A 添加规则 -P 修改链的默认规则,-I插入规则
iptables -t filter -nL --line-numbers //查看表中的所有默认规则
iptables -t filter -D INPUT 3 //删除表中input链的第三条规则
iptables -t filter -F INPUT //清除表中链的所有规则
iptables -t filter -F //删除表中的所有规则
service iptables save //保存,让设置永久生效
B、处理动作:ACCEPT 允许 DROP 丢弃 REJECT 拒绝
iptables -t filter -P INPUT DROP //修改默认链的规则为DROP
C、匹配条件:-p 协议(udp,tcp) --sport(源端口号) --dport(目标端口) , 源地址 :--source 目标地址:--desi
主机型防火墙(服务器保护自己)
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT //给表中的链增加22端口访问
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT //
iptables -t filter -I INPUT 1 --source 192.168.4.102 -p tcp --dport 22 -j DROP //
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT //开通本机ping其它主机
网络型防火墙(架设在2个网络之间的服务器,保护内部网络)
iptables -t filter -P FORWARD DROP // 修改默认链的规则为drop
iptables -t filter -A FORWARD -p tcp --dport 22 -j ACCEPT //增加目的端口22的访问权限
iptables -t filter -A FORWARD -p tcp --sport 22 -j ACCEPT //增加源端口22的访问权限
网络地址转换:nat表(转换源地址,转换目标地址)
1、让内网所有主机共享一个公网ip地址上网
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 192.168.2.101
2、发布内网服务器
iptables -t nat -A PREROUTING -i eth1 -d 192.168.2.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.102
标签:iptables
原文地址:http://blog.51cto.com/453412/2087936
