2. 程式人生 > 實用技巧 >iptables的簡單用法和iptables實現外網連線內網

iptables的簡單用法和iptables實現外網連線內網

阿新 發佈:2020-09-19

iptables的幾種簡單用法

1、拒絕所有主機ping當前的主機。

拒絕之前,先把自己允許了,
[ root@centos8-1 ~# iptables -AINPUT -s 10.0.0.1 -j REJECT
這就拒絕了所有主機ping我
[ root@centos8-1 ~# iptables -AINPUT -j  REJECT
檢視定義的規則,就看到剛定義的規則了,注意順序不能改變
[ root@centos8-1 ~# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt 
 
in     out     source               destination         
  133 11022 ACCEPT     all  --  *      *       10.0.0.1             0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt 
 
in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

2、本機能夠訪問別的機器的HTTP服務,但是別的機器無法訪問本機。

拒絕了所有網段的主機訪問我的tcp80埠
[ root@centos8-1 /var/www/html# iptables -AINPUT  -p tcp --dport 80
 
 -j REJECT

檢視在防火牆上定義的規則,第二條是拒絕了所有主機訪問我的http服務(http服務就是tcp 80埠)
[ root@centos8-1 /var/www/html# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  789 58572 ACCEPT     all  --  *      *       10.0.0.1             0.0.0.0/0           
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

3、當我們發現有 ip 惡意攻擊我們得時候,我們可以通過對防火牆設定規則來進行控制。所以我們可以新增connlimit模組來實現對最大併發得控制。

10.0.0.18為本機,當任何主機通過INPUT併發連線我,連線的數量大於2,就拒絕
[ root@centos8-1 /var/www/html# iptables -AINPUT -d 10.0.0.18 -m connlimit --connlimit-above 2 -j REJECT

用iptables實現外網通過ssh連線內網

4、實踐題

實驗前提需求

現在我在外地出差使用A7網際網路主機,但是現在由於公司有業務需要我 ssh 連結到內網、這時候

我就聯絡我們公司同事在防火牆上配置相關規則讓我連結進公司內網 
A7:把網絡卡改為僅主機,ip地址改為192.168.1.128  閘道器指向192.168.1.129
A8:需要兩塊網絡卡一塊僅主機ip設定為 192.168.1.129 ;另一塊是nat,ip設定為10.0.0.8
B8:把網絡卡設定為nat ip為10.0.0.18 
====================================================
A8:echo 1 > /proc/sys/net/ipv4/ip_forward
然後依次執行這三條命令
iptables -AFORWARD -j REJECT
iptables -IFORWARD  -s 192.168.1.128 -p tcp --dport 22 -j ACCEPT
iptables -IFORWARD  -d 192.168.1.128 -p tcp --sport 22 -j ACCEPT

相關推薦

iptables簡單用法iptables實現連線

iptables的幾種簡單用法 1、拒絕所有主機ping當前的主機。 拒絕之前,先把自己允許了,

vmware虛擬機器NAT模式埠轉發實現訪問虛擬機器

vmware虛擬機器NAT模式埠轉發實現訪問虛擬機器 1、選擇NAT模式2、NAT設定,配置訪問埠3、驗證

PriorityQueue的用法底層實現原理

定義 PriorityQueue類在Java1.5中引入並作為 Java Collections Framework 的一部分。PriorityQueue是基於優先堆的一個無界佇列,這個優先佇列中的元素可以預設自然排序或者通過提供的Comparator(比較器)在佇列例項

2021-12-17 深入理解動態IP,IP,IP

什麼是外網IP 我們的網際網路就好比一條寬闊的馬路,網上的各種網站,提供服務的IDC,就好比馬路邊上的各種底商。大家都知道底商是直接開在馬路邊上的,他們的大門直接對著馬路,目的是為了方便顧客進出購物,消

NFS+一點點web服務(需,無可改成地址)

第1章 儲存與nfs儲存概述 1.為什麼用共享儲存 2.儲存有哪些工具 3.共享儲存應用場景有哪些

訪問的原理及花生殼扮演的作用

    一、外網訪問內網的原理 步驟一:將內網應用的ip地址埠號分別對映到外網ip埠上步驟二:外網訪問內網應用時,就如住酒店模式(公網地址為酒店地址,房間號為內網地址),先找到訪問的應用所在的外網ip,然後找

EF使用LINQLamda實現SQL查詢的連線(INNER JOIN)連線(LEFT JOIN)

摘自:https://www.freesion.com/article/7263358177/  背景介紹:1.OperateLogInfo:日誌表2.SystemUserInfo:使用者表需求:查詢日誌表,要根據日誌表的建立人id查詢出建立人姓名(日誌表連線使用者表)

使用pycharm、跳板機連線伺服器

使用pycharm、跳板機連線伺服器 接手實驗室伺服器後,大部分同學在GPU叢集上跑程式都是直接在ssh介面上跑,這裡想著通過pycharm通過跳板機來連線伺服器。

滲透-穿透工具

技術標籤:滲透 作者:小剛 一位苦於資訊保安的萌新小白帽,記得關注給個贊,謝謝 本實驗僅用於資訊防禦教學,切勿用於其它用途

通過跳板機連線伺服器資料庫-ssh(navicat)

通過跳板機連線資料庫-ssh(navicat) 背景實現 背景 客戶機A可以連線伺服器B,伺服器B可以連線伺服器C,客戶機A無法連線伺服器C。要實現在客戶機A(windows)上,通過Navicat訪問伺服器C上的mysql資料庫

iptables做NAT代理,使機器上iptables做NAT代理,使機器上iptables配置使用 Snat 實現代理上公網【轉】 

iptables做NAT代理,使機器上   現狀:伺服器A只有一個IP,不能上IP與伺服器B相通;伺服器B有一個IP公網IP。想實現伺服器A也能上

C#實現獲取本地(區域網)(公網)IP地址的方法分析

本文例項講述了C#實現獲取本地(區域網)(公網)IP地址的方法。分享給大家供大家參考,具體如下:

iptables配置使用 Snat 實現代理上公網【轉】

NAT 全名是 Network Address Translation,字面上的意思是網路地址轉換,它還可以分為源地址轉換(SNAT)目的地址轉換(DNAT)。SNAT 主要是用來給內網的主機提供連線到 Internet 的預設閘道器,而 DNAT 主要將內網

frp 簡單使用配置記錄。 Windows下 穿透 實現使用遠端桌面連線,代理web服務。

frp專案地址:fatedier/frp: A fast reverse proxy to help you expose a local server behind a NAT or firewall to the internet. (github.com)

簡單瞭解Java方法的定義使用實現詳解

這篇文章主要介紹了簡單瞭解Java方法的定義使用實現詳解,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Java waitnotifyAll實現簡單的阻塞佇列

wait,會使呼叫的執行緒進入等待狀態,會釋放所持有的物件鎖(呼叫的時候也必須先獲取到鎖,否則會丟擲異常 IllegalMonitorStateException)

基於vuebootstrap實現簡單留言板功能

本文例項為大家分享了vue實現簡單留言板功能的具體程式碼,供大家參考,具體內容如下

樹莓派 + DDNS 繫結域名實現訪問

來自 yoyolife 的投稿。 目前的資料收集情況來說,只有中國電信可以開通IP。另外,不能使用80埠。如果你要80就不用往下看了。

NetCore控制檯程式-使用HostServiceHttpClient實現簡單的定時爬蟲

.NetCore承載系統 .NetCore的承載系統, 可以將長時間執行的服務承載於託管程序中, AspNetCore應用其實就是一個長時間執行的服務, 啟動AspNetCore應用後, 它就會監聽網路請求, 也就是開啟了一個監聽器, 監聽器會將網路

vnc遠端用遠端公司,4個步驟步實現vnc遠端用遠端公司

一、首先連線上要安裝vnc的伺服器 用IIS7伺服器管理工具找到windows伺服器連線入口新增—選擇—連線即可。