iptables、防火墙配置、NAT端口映射

一,配置一个filter表放火墙

(1)查看本机关于IPTABLES的设置情况

[[email protected] ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination

Chain RH-Firewall-1-INPUT (0 references)
target       prot opt source                 destination         
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255 
ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353 
ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631 
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25 
REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited 
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.

如果你在安装linux时没有选择启动防火墙,是这样的

[[email protected] ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination

什么规则都没有.

(2)清除原有规则.

不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.

[[email protected] ~]# iptables -F        清除预设表filter中的所有规则链的规则
[[email protected] ~]# iptables -X        清除预设表filter中使用者自定链中的规则

我们在来看一下

[[email protected] ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination

什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.

[[email protected] ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[[email protected] ~]# service iptables restart

现在IPTABLES配置表里什么配置都没有了.

(3)添加规则.

首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链

为了能采用远程SSH登陆,我们要开启22端口.

[[email protected] ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[[email protected] ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.

其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:

[[email protected] ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)

如果做了WEB服务器,开启80端口.

[[email protected] ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.

[[email protected] ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[[email protected] ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口

[[email protected] ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服务器,开启53端口

[[email protected] ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

如果你还做了其他的服务器,需要开启哪个端口,照写就行了.

二,配置一个NAT表放火墙

1,查看本机关于NAT的设置情况

[[email protected] rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target       prot opt source                 destination

Chain POSTROUTING (policy ACCEPT)
target       prot opt source                 destination         
SNAT         all    --    192.168.0.0/24         anywhere              to:211.101.46.235

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination

我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章

当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的

如果你想清除,命令是

[[email protected] ~]# iptables -F -t nat

[[email protected] ~]# iptables -X -t nat

[[email protected] ~]# iptables -Z -t nat

2,添加NAT规则

iptables -t nat -A PREROUTING -d 地址1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 地址2:81

需要开启ip forward功能。

修改/etc/sysctl.conf中的net.ipv4.ip_forward = 1,默认是0

也可以echo 1 > /proc/sys/net/ipv4/ip_forward

iptables、防火墙配置、NAT端口映射

时间: 2024-10-23 03:29:32

iptables、防火墙配置、NAT端口映射的相关文章

思科 GNS3 配置 NAT 端口映射

NAT 端口映射 1. 实验拓扑 使用GNS3模拟器版本 0.8.5 2.实验需求 1实现R2路由器上的C2 能够通过NAT端口映射上公网 2实现R1路由器上的C1能够通过NAT端口映射上公网 3.实验配置: IP规划 C1 C2 R1(config)#int f0/0 R1(config-if)#ip add 12.0.0.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#int f R1(config-if)#int f0/1 R1(conf

CentOS下配置iptables防火墙 linux NAT(iptables)配置

CentOS下配置防火墙 配置nat转发服务CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/sysconfig/network   这里可以更改主机名称. NETWORKING=yesNETWORKING_IPV6=noHOSTNAME=BGI-TJ.localdomain GATEWAY=192.168.11.1(超算网关) 2.vim /etc/sysconfig/network-scripts/

iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

Linux服务器 iptables 防火墙配置详解

导读: 很好的一篇关于Linux防火墙 iptables配置, linux防火墙配置很关键, 这牵扯到服务器安全, 安全不是绝对的,但是iptables配的好可以杜绝大多数灰色试探. 转载到老吧博客了, 更多iptables配置可以咨询作者. linux iptables 防火墙配置非常重要, 我们来配置一个filter表的防火墙. 查看本机关于IPTABLES的设置情况 [[email protected] ~]# iptables -L -n 如果你在安装linux时没有选择启动防火墙,什么

CentOS下配置防火墙 配置nat转发服务

CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/sysconfig/network   这里可以更改主机名称. NETWORKING=yesNETWORKING_IPV6=noHOSTNAME=BGI-TJ.localdomain GATEWAY=192.168.11.1(超算网关) 2.vim /etc/sysconfig/network-scripts/ifcfg-eth0  第一块网卡. Bro

Linux iptables防火墙添加删除端口

一.  Linux 防火墙的启动和关闭1.1 启动命令[[email protected] ~]# service iptables stopFlushing firewall rules:                                   [  OK  ]Setting chains to policy ACCEPT: filter nat                [  OK  ]Unloading iptables modules:                  

ASA防火墙配置NAT

在ASA防火墙配置NAT分为4种类型:动态NAT.动态PAT.静态NAT.静态PAT.结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法: ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0 #声明内部地址,nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-30.1.1.200 #声明全局地址,nat-id与内部nat-id相对应 测试一下,查看ASA地址转

NAT地址转换详解(静态NAT,端口映射,动态NAT,PAT)

NAT地址转换概述图 这一章我们将学习并实践,静态NAT地址转换,动态NAT地址转换, 端口映射,PAT端口多路复用 一.了解NAT的优缺点 二.NAT的工作原理 静态转换 (Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation) 三.NAT的术语于转换表 NAT地址转换一种伪装,确保了地址的安全 如图: PC1第一件事情发出请求,先查询路由表,然后才会根据NAT表转换成公网地址,去访问外部网.源I

80端口被屏蔽解决方法,80端口穿透之NAT端口映射技术

介绍一种NAT端口映射技术应用,达到80端口穿透目的,解决80端口被屏蔽的问题,也是80端口被屏蔽解决方法中经常用到的. 80端口穿透类似80端口转发,因为80端口被屏蔽,在数据层面来说是不能直接访问的,但通过端口转发后,在数据层是转发,用户访问是直接访问. 80端口穿透之NAT端口映射技术应用: 一,在局域网内启用nat123端口映射.添加映射.这一步虽然简单便很重要.映射时,外网地址使用自己的域名,外网端口直接写定是80端口. 二,映射后,访问下网站地址,不带端口的外网地址,是正常的.之后,