2. 程式人生 > >linux下iptable的用法

linux下iptable的用法

阿新 發佈:2018-12-20

########################
1.iptables的用法
########################
iptables比firewall功能更詳細,但是難上手

關閉火牆

安裝iptables
在這裡插入圖片描述
啟動服務
在這裡插入圖片描述
服務資訊儲存在/etc/sysconfig/iptables
在這裡插入圖片描述

iptables加以下

-nL不做解析列出
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state    RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-   prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-    prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

-F 清除所有策略

[[email protected] ~]# iptables -F
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

###################################
2.iptable限制訪問
###################################
以httpd為例
通過控制埠不同ip的訪問許可權來控制訪問
檢視httpd服務的埠

有三個字尾

拒絕
REJECT
允許
ACCEPT
忽略
DROP

[[email protected] ~]# netstat -antlupe | grep httpd
tcp6       0      0 :::80                   :::*                    LISTEN      
0          24061          1264/httpd

在這裡插入圖片描述
iptables -A INPUT -p tcp --dport 80 -j REJECT
拒絕所有訪問

[[email protected] ~]# iptables  -A  INPUT  -p tcp  --dport  80  -j REJECT
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0   tcp dpt:80 reject-with     
icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables -A INPUT -s 172.25.254.32 -p tcp --dport 80 -j ACCEPT

[[email protected] ~]# iptables  -A  INPUT  -s 172.25.254.132 -p tcp --dport 80 -j     ACCEPT
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0   tcp dpt:80 reject-with     icmp-port-unreachable
ACCEPT     tcp  --  172.25.254.32       0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

在這裡插入圖片描述
但此時還是無法連線,原因是讀取時是從第一條開始讀取,當第一條滿足時不再讀取第二條規則

有兩種刪除方法
按內容刪除,注意如果多個相同內容,按內容刪除的順序是從後往前刪除
iptables -D INPUT -s 172.25.254.32 -p tcp --dport 80 -j ACCEPT
按序號刪除第二條規則
iptables -D INPUT 2
插入到第一條規則
iptables -I INPUT 1 -s 172.25.254.32 -p tcp --dport 80 -j ACCEPT

[[email protected] ~]# iptables  -D INPUT 2
[[email protected] ~]# iptables  -I  INPUT  1 -s 172.25.254.32 -p tcp --dport 80 -j   ACCEPT
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  172.25.254.32        0.0.0.0/0            tcp dpt:80
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with     icmp-portunreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

在這裡插入圖片描述
瀏覽器測試能連線
在這裡插入圖片描述
用172.25.254.232的瀏覽器連線
在這裡插入圖片描述

刪除掉允許,改為拒絕不提示
iptables -D INPUT 1

iptables -I INPUT 1 -s 172.25.254.32 -p tcp --dport 80 -j DROP

[[email protected] ~]# iptables -D INPUT 1
[[email protected] ~]# iptables  -I  INPUT  1 -s 172.25.254.32 -p tcp --dport 80  -j   DROP 
[[email protected] ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  172.25.254.32        0.0.0.0/0            tcp dpt:80
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with  icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

在這裡插入圖片描述
此時重新整理瀏覽器連線時會一直在讀取,原因是拒絕不提示時沒有反饋
在這裡插入圖片描述

####################
3.簡單管理鏈
#####################
iptables -F ##清空策略
在這裡插入圖片描述

iptables -t nat -F PREROUTING:把表格換為nat並且重新整理prerouting連結
在這裡插入圖片描述
新增名為westos的鏈
iptables -N westos
在這裡插入圖片描述

iptables -E allowed disallowed:修改鏈名稱
在這裡插入圖片描述
iptables -D westos 1 刪除自定義鏈下的策略
iptables -X redhat :刪除自定義鏈
在這裡插入圖片描述
iptables -R INPUT 3 -j ACCEPT:把3號的規則替換為-j ACCEPT

iptables -P INPUT DROP: 設定filter表INPUT鏈的預設規則,當資料包沒有被規則列表的任何規則匹配到時,按這個規則處理

iptables -t nat -F:清空nat策略,-F只晴空鏈中的規則不影響-P設定的預設規則

iptables -t nat -nL:檢視nat策略

iptables -t nat -L PREROUTING:檢視nat表中prerouting鏈的規則

#########################
7.iptables做地址轉換
#########################
路由器為172.25.254.132
1.1.1.132
目的閘道器為1.1.1.232
目的是32連線132時自動連線到232,可用於不同網段的連線

清除所有表格
在這裡插入圖片描述
新增轉換規則
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.232
在這裡插入圖片描述
ssh 172.25.254.132
檢視連線後的ip

相關推薦

linuxiptable用法

######################## 1.iptables的用法 ######################## iptables比firewall功能更詳細,但是難上手 關閉火牆 安裝iptables 啟動服務 服務資訊儲存在/etc/sysconfig/ipta

linuxmd5sum用法 (查看文件或字符串的md5值)

一般來說 生產 ech mes warn md5算法 換行符 tab鍵 bin MD5算法常常被用來驗證網絡文件傳輸的完整性,防止文件被人篡改。MD5 全稱是報文摘要算法(Message-Digest Algorithm 5),此算法對任意長度的信息逐位進行計算,產生一

linuxmd5sum用法 (檢視檔案或字串的md5值)

  MD5演算法常常被用來驗證網路檔案傳輸的完整性,防止檔案被人篡改。MD5 全稱是報文摘要演算法(Message-Digest Algorithm 5),此演算法對任意長度的資訊逐位進行計算,產生一個二進位制長度為128位(十六進位制長度就是32位)的“指紋”(或稱“報文摘要”),不同的檔案產生

linuxrename用法--批量重新命名 轉

原文地址:https://www.cnblogs.com/hester/p/5615871.html Linux的rename 命令有兩個版本,一個是C語言版本的,一個是Perl語言版本的,早期的Linux發行版基本上使用的是C語言版本的,現在已經很難見到C語言版本的了, 由於歷史原因,在Perl語言大紅大

Linux cut用法總結

CUT cut 顧名思義,就是切~~是一個選取命令,其功能是將檔案中的每一行,“位元組” “字元” “欄位” 進行剪下,選取我們需要的,並將這些選取好的資料輸出至標準輸出。 create two new document to display #ca

linuxautomake用法

作為Linux下的程式開發人員,大家一定都遇到過Makefile,用make命令來編譯自己寫的程式確實是很方便。一般情況下,大家都是手工寫一個簡單Makefile,如果要想寫出一個符合自由軟體慣例的Makefile就不那麼容易了。   在本文中,將給大家介紹如何使用 auto

linuxrdesktop用法

我自己用的引數rdesktop -g workarea -D -r clipboard:PRIMARYCLIPBOARD -a 16 -x lan 192.168.1.2 rdesktop是Linux下一個好用的用來連線Windows遠端桌面(當然不僅僅在於此,只要是基於R

linuxgrep用法

linux grep命令 不定時更新中。。。 一、作用 百度 二、格式 grep [options] ‘pattern’ filename 三、option主要引數 下面所列的引數主要是一些常

(轉)Linux內存映射文件的用法簡介

target 共享 文件 知識 i/o 共享數據 log 需要 使用 簡介: 內存映射文件與虛擬內存有些類似,通過內存映射文件可以保留一個地址空間的區域,同時將物理存儲器提交給此區域,只是內存文件映射的物理存儲器來自一個已經存在於磁盤上的文件,而非系統的頁文

LinuxGoAccess的安裝與全部用法

3.4 百分號 最終 單獨 一個 用戶id 概述 src 月份 GoAccess用戶文檔 一、 GoAccess概述 1.1 GoAccess概述 goaccess是一個實時的web日誌分析器,以及交互式查看器,在類Unix系統的終端(terminal)上

Linux的fdlisk - l 用法解析-入門篇

com png gen 結束 文件系統 解析 大小 bubuko 引導 fdlisk - l 的含義是查看linux下面的磁盤分區大小。這個大小包含了很多信息。 我們來看度娘的一則介紹: FDISK進行硬盤分區從實質上說就是對硬盤的一種格式化。當我們創建分區時,就已經

linuxcrontab的原理和用法

amp %d 檢查 pos 時間 運行時間 tor mman body linux 系統則是由 cron (crond) 這個系統服務來控制的。Linux 系統上面原本就有非常多的計劃性工作,因此這個系統服務是默認啟動的。另 外, 由於使用者自己也可以設置計劃任務,所以,

linux shell中if的“-e,-d,-f”的用法

符號鏈接 符號 字符串變量 -s 長度 目錄 != filename bsp 文件表達式-e filename 如果 filename存在,則為真-d filename 如果 filename為目錄,則為真 -f filename 如果 filename為常規文件,則為真-

LinuxRIAD的實現及mdadm命令的基本用法

一、RAID簡述 磁碟陣列(Redundant Arrays of Independent Disks,RAID),是把多個物理磁碟組成一個陣列,當作一個邏輯磁碟使用,它將資料以分段或條帶的方式儲存在不同的磁碟中,這樣可以通過在多個磁碟上同時儲存和讀取資料來大幅提高儲存系統的資料吞吐量 二、RAID分類

Linux實現客戶端兩連跳ping百度,修改dns和nmcil的用法

1.客戶端跳兩次路由器ping百度 rht vmctl reset 重置虛擬機器 真機和虛擬機器開啟火牆策略 用在配置網路單元學的修改兩機閘道器 設定server為雙網絡卡路由端接觸客戶端Desktop閘道器為1.1.1.100 路由器端設定GATEWAY為真機,記得syste

linux主從同步和redis的用法

mariadb其實就是mysql mysql已經被oracle收購,它即將閉源,馬上要開始收費了因此還想免費試用開源的資料庫mysql,就在centos7上,將mysql分支為mariadb 安裝mariadb,在centos7底下:linux軟體包的格式 mysql.rpm 1.通過yum去安裝 1

Linuxshell命令用法和例項總結:du

完整的Linux下Shell命令總結歸檔於IT老兵部落格。 命令格式 du [選項] [檔案] 命令功能 du(disk usage 的簡稱)命令用於檢查計算機上檔案和目錄的磁碟使用情況,可以遞迴顯示檔案和目錄。顯示每個檔案和目錄的磁碟使用空間。 命令引數

Linux ls 命令的高階用法8例

在Linux下,ls這個命令大家肯定太熟悉了,良許相信只要是Linux工程師,每天都會離不開這個命令,而且一天會使用個幾百次。但是,除了 ls -l 以外,你還知 ls 的哪些高階用法呢?良許今天為大家介紹 ls 命令的8種高階用法。 假如我們有這樣的一個資料夾,我們用tree命令檢視它的目錄結構:

8 個 Linux ls 命令的高階用法!個個驚豔!

作者 | 良許 責編 | 胡巍巍 在Linux下,ls這個命令大家肯定太熟悉了,筆者相信只要是Linux工程師,每天都會離不開這個命令,而且一天會使用個幾百次。 但是,除了ls -l以外,你還知ls的哪些高階用法呢?筆者今天為大家介紹ls命令的8種高階用法。

linux常用命令與常用操作用法及解釋(初學者必備)

1、環境變數      (1)列印環境變數:ehco  $PATH      (2)新增到環境變數(一般放在當前使用者的宿主目錄~/下的.bashrc檔案裡):export PATH=/usr/local/bin:$PATH                 解釋:每一次