iptables 使用详解.doc

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
iptables 使用详解

ptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。 filter负责过滤数据包,包括的规则链有,input,output和forward; nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output; mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING; input匹配目的IP是本机的数据包,forward匹配流经本机的数据包,prerouting用来修改目的地址用来做DNAT,postrouting用来修改源地址用来做SNAT。 iptables主要参数 -A 向规则链中添加一条规则,默认被添加到末尾 -T指定要操作的表,默认是filter -D从规则链中删除规则,可以指定序号或者匹配的规则来删除 -R进行规则替换 -I插入一条规则,默认被插入到首部 -F清空所选的链,重启后恢复 -N新建用户自定义的规则链 -X删除用户自定义的规则链 -p用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号, -s指定源地址 -d指定目的地址 -i进入接口 -o流出接口 -j采取的动作,accept,drop,snat,dnat,masquerade --sport源端口 --dport目的端口,端口必须和协议一起来配合使用 注意:所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写 iptable配置实例 iptable基本操作 iptables -L? 列出iptables规则 iptables -F? 清除iptables内置规则 iptables -X? 清除iptables自定义规则 设定默认规则 在iptables规则中没有匹配到规则则使用默认规则进行处理 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP 配置SSH规则 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT? 如果你把OUTPUT 设置成DROP,就需要加上这个规则,否则SSH还是不能登录,因为SSH服务职能进不能出。 只允许的机器进行SSH连接 iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT 如果要允许,或限制一段IP地址可用 /24 表示-255端的所有IP. 允许loopback回环通信 IPTABLES -A INPUT -i lo -p all -j ACCEPT? IPTABLES -A OUTPUT -o lo -p all -j ACCEPT 目的地址转换,映射内部地址 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to :80 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to -0 源地址转换,隐藏内部地址 iptables -t nat -A POSTROUTING -s /24 -j SNAT --to iptables -t nat -A POSTROUTING -s /24 -j SNAT --to -0 地址伪装,动态ip的NAT iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE masquerade和snat的主要区别在于,snat是把源地址转换为固定的IP地址或者是地址池,而masquerade在adsl等方式拨号上网时候非常有用,因为是拨号上网所以网卡的外网IP经常变化,这样在进行地址转换的时候就要在每次都要修改转换策略里面的ip,使用masquerade就很好的解决了这个问题,他会自己去探测外网卡获得的ip地址然后自动进行地址转换,这样就算外网获得的ip经常变化也不用人工干预了。 开启转发功能 iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允许已建连接及相关链接对内转发 ptables -A FORWARD -i eth1 -o eh0 -j ACCEPT 允许对外转发 过滤某个MAC iptables -A FORWARD -m mac --mac -so

文档评论(0)

xcs88858 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8130065136000003

1亿VIP精品文档

相关文档