火墙之iptables

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介:

 iptables简介   

    IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。其中包含三表(filter表,nat表,mangle表)、五链(INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING)。

wKioL1mVsMKwpcW8AAYYuPt_U9c681.png

安装iptables服务

wKiom1mY70-QSv7GAAGjpnZONNs718.png

开启服务,关闭火墙并冻结火墙

 

wKioL1mY72GB3jONAAGYJ9wnz8Q582.png

iptables服务相关命令

  

     -t                 指定表名称 
    -n                 不作解析
    -L                 列出指定表中的策略
    -A                 增加策略
    -p                 网络协议
    --dport            端口
    -s                 数据来源
    -j                 动作
    ACCEPT             允许
    REJECT             拒绝
    DROP               丢弃
    -N                 增加链
    -E                 修改链名称
    -X                 删除链
    -D                 删除指定策略
    -I                 插入
    -R                 修改策略

      -P                 修改默认策略

列出表中的策略,并且做解析

wKioL1mY8JyQTgq_AAFzoHthFMc644.png

 

列出表中的信息,不做解析

wKiom1mY8KKzaSJ1AAFtrnJNT8U430.png

 

列出filter表中的策略,不做解析

wKioL1mY8J2DswXkAAFzA8n7MAo915.png

列出nat表中的策略,不做解析

wKiom1mY8VHhWHYXAADbNnh1kmU501.png

 

刷掉表中的所有策略,没指明哪张表时默认filter表

sercive iptables save     ##保存iptables指令

wKioL1mY8Uyh8e-ZAAHTQybLzfg031.png

iptables -A INPUT -i lo -j ACCEPT #允许lo接口数据

iptables -A INPUT -j REJECT         #拒绝所有接口数据

wKiom1mY8mKygClCAAEw8QCCIzc266.png

iptables -A INPUT -s 172.25.254.25 ACCEPT ##允许25这台主机访问

wKioL1mY8l2QNZuNAADSjZfnh9o990.png

 

用25连接125,却发现无法连接,原因是系统读表中的策略时,是从上到下依次读取,如果第一条不匹配,就会读第二条,以此类推,知道读到匹配的,后面的策略就不再读,如果所有的都不匹配,就根据默认策略执行

wKiom1mY8mOh-A_GAAA6hG4nb5A637.png

iptables -D INPUT 2               ##删除第二条策略

wKioL1mY9CyCCF8YAAHD1Nfgi_g239.png

在第一条的位置添加拒绝25主机访问80端口的策略

wKiom1mY9JjS0TgmAAFG-34xc4o884.png

修改第一条策略为允许

wKioL1mY9TTT46atAAExWZqZhTY895.png

添加一个名为westos的表

wKiom1mY9TryFhQuAAFIb5LuxW0623.png

改westos为redhat

wKiom1mY9TvwfFYaAAFKYfoqxFo772.png

删除名为redhat的表

wKioL1mY9TajeOjFAAEZHOgbl_c873.png

刷掉表中的所有策略

wKiom1mY9i2BkaDAAAEQbFFc1ls805.png

iptables伪装和端口装换

给服务端增加一块网卡eth1,并设置IP

wKiom1mY9pnyaIIWAACzJ-GuAPc663.png

wKioL1mY9qaA3S9bAABJr8UHZC0754.png

重启网络,查看设置结果

wKiom1mY9tegaAYVAAI-Q1mUVpw102.png

客户端的配置

设置IP,与服务端的eth1在同一网段,网关为eth0的ip

wKioL1mY9wTxBg4EAAA5lczAy_I362.png

 

测试,可以ping通服务端

wKiom1mY9wqxEMp-AAChwX4xSVw246.png

 

测试,不能ping通真机,不在同一网段

wKioL1mY9wXTpgyJAAAqh2kcZTU614.png

 

查看nat表的策略

wKiom1mY9-SyvPCJAADdposH4vk241.png

 

设置从客户端到从服务端eth0出去的数据伪装成源数据为172.25.254.125

wKioL1mY9-DBXMaGAABivnPxEJU325.png

 

内核路由转发功能表

wKioL1mY9-DCDB3iAAH4BAPn4xA692.png

 

需要写入到/etc/sysctl.conf文件中去,重新启动才能生效

wKiom1mY9-bRCqtZAACSk-Uq2aA985.png

 

查看加载的策略

wKiom1mY-QmRaaGRAAFYqU5ibMk886.png

测试,可以ping通真机

wKioL1mY-ZfCnjl6AACt5Vrtxhc339.png

设置将真机从服务端eth0进去的数据伪装成源数据为172.25.25.225

 

wKioL1mY-QTQCVyMAAFn98lSeJI604.png

用客户机连接真机,真机查看远程登陆自己的主机时,会显示为服务机的ip










本文转自 happy_newbie  51CTO博客,原文链接:http://blog.51cto.com/12971521/1957769,如需转载请自行联系原作者
目录
相关文章
|
网络协议 Linux 网络安全
iptables 的四表五链
iptables 是 Linux 系统上用于定义防火墙规则的工具,它通过四个表和五个链来进行配置。下面是这些表和链的详细说明: 四个表: 1. filter 表:filter 表是最常用的表,用于过滤数据包。它包含了 INPUT、OUTPUT 和 FORWARD 三个默认的链。 2. nat 表:nat 表用于网络地址转换 (NAT)。它包含了 PREROUTING、POSTROUTING 和 OUTPUT 三个默认的链。nat 表用于修改数据包的 IP 地址和端口。 3. mangle 表:mangle 表用于修改数据包的特定字段,如 TTL(生存时间)、TOS(服务类型)等。它包含了
317 1
|
7月前
|
负载均衡 网络协议 算法
iptables 具体介绍
iptables 具体介绍
|
7月前
|
网络协议 网络安全
Iptables小总结
Iptables小总结
|
网络协议 网络安全 网络性能优化
|
安全 网络协议 Linux
扒一下一直不求甚解的 iptables
iptables 是用于配置 Linux 2.4.x 及更高版本包过滤规则集的用户空间命令行程序。它针对系统管理员。 由于网络地址转换 (NAT) 也是从包过滤规则集配置的,iptables 也用于此。 iptables 包还包括 ip6tables。ip6tables 用于配置 IPv6 包过滤器。
扒一下一直不求甚解的 iptables
|
网络协议 Linux 测试技术
iptables超全详解
数据包先经过PREOUTING,由该链确定数据包的走向:     1、目的地址是本地,则发送到INPUT,让INPUT决定是否接收下来送到用户空间,流程为①--->②;     2、若满足PREROUTING的nat表...
2148 0
|
网络安全 Linux Apache
|
网络协议 Linux 网络安全
|
网络协议 安全 Linux