iptables的基本使用
2、iptables服務的功能:查看,修改,刪除,添加規則
3、iptables的組成:
功能 表 鏈
ip包過濾: filter INPUT,FORWARD,OUTPUT
網絡地址轉換: nat PREROUTING,POSTROUTING,OUTPUT
對ip包打標記: mangle PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
方向 鏈
進入防火墻主機 INPUT
經過防火墻主機 FORWARD
從防火墻主機出去的 OUTPUT
路由前 PREROUTING
4、基本語法規則: iptables -t 表名 管理選項 鏈名 匹配規則 -j 處理動作
A、管理選項:-L 查看 ,-F 清除,-D 清除某一個規則,-A 添加規則 -P 修改鏈的默認規則,-I插入規則
iptables -t filter -nL --line-numbers //查看表中的所有默認規則
iptables -t filter -D INPUT 3 //刪除表中input鏈的第三條規則
iptables -t filter -F INPUT //清除表中鏈的所有規則
service iptables save //保存,讓設置永久生效
B、處理動作:ACCEPT 允許 DROP 丟棄 REJECT 拒絕
iptables -t filter -P INPUT DROP //修改默認鏈的規則為DROP
C、匹配條件:-p 協議(udp,tcp) --sport(源端口號) --dport(目標端口) , 源地址 :--source 目標地址:--desi
主機型防火墻(服務器保護自己)
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT //給表中的鏈增加22端口訪問
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT //
iptables -t filter -I INPUT 1 --source 192.168.4.102 -p tcp --dport 22 -j DROP //
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT //開通本機ping其它主機
網絡型防火墻(架設在2個網絡之間的服務器,保護內部網絡)
iptables -t filter -P FORWARD DROP // 修改默認鏈的規則為drop
iptables -t filter -A FORWARD -p tcp --dport 22 -j ACCEPT //增加目的端口22的訪問權限
iptables -t filter -A FORWARD -p tcp --sport 22 -j ACCEPT //增加源端口22的訪問權限
網絡地址轉換:nat表(轉換源地址,轉換目標地址)
1、讓內網所有主機共享一個公網ip地址上網
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 192.168.2.101
2、發布內網服務器
iptables -t nat -A PREROUTING -i eth1 -d 192.168.2.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.102
iptables的基本使用