16.iptables配置管理

16.iptables配置管理

·配置文件:

·通过iptables添加的规则并不会永久保存,需要service iptables save命令永久保存到/etc/sysconfig/iptables文件中,

·CentOS自带默认iptables规则,保存自定义规则会覆盖默认规则,

·基本操作:

·iptables服务默认启动,service iptables status,

·列出现有规则,iptables -L,

·插入一个规则,iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT,

·删除一个规则,iptables -D INPUT 3或 iptabes -D INPUT  -s 192.168.1.1 -j drop,

·删除所有规则,iptables -F,

·举例:

·控制到本机的网络流量:

·iptables -A INPUT -s 192.168.1.1 -j DROP,过滤掉所有来自192.168.1.1的流量,

·iptables -A INPUT -p tcp --dport 80 -j DROP,过滤掉访问本机80端口的网页流量,

·iptables -A INPUT -s 192.168.1.0/24 -p  tcp --dport22 -j DROP,过滤掉来自1网段的ssh连接,

·iptables -A INPUT -i eth0 -j ACCEPT,接受来自接口eth0的数据,

·forward,当使用linux作为路由(进行数据转发)设备使用的时候,可以通过定义forward规则来进行转发控制,如:

·iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP,禁止所有192.168.1到10.1.1的流量,

·NAT,网络地址转换是用来对数据包的IP地址进行修改的机制,NAT分为两种:

·SNAT,源地址转换,通常用于伪装内部地址(一般意义上的NAT),

·DNAT,目标地址转换,通常用于跳转,

·iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10,通过NAT进行跳转,

·iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080,通过NAT对出数据进行跳转,

·iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE,一般意义NAT,对数据进行伪装,成一个外部公网,

·iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4,通过NAT伪装源IP地址,

·注意:

·如果是远程管理一个linux主机并修改iptables规则,必须先允许来自客户机的SSH流量的规则,否则可能由于配置失误讲自己阻挡在外,

时间: 2024-10-17 22:24:23

16.iptables配置管理的相关文章

iptables配置管理

iptables -t filter -A INPUT -s 192.168.1.1 -j DROP 表      链  匹配属性    动作 表--要执行的相关功能,eg过滤功能用到filter表,修改ip地址用到nat表,高级配置用到mangle表 链--过滤点,eg处理入向流量用input,出向output..forward.prerouting.postrouting 匹配属性--哪条数据包符合 动作--最后跟我们的动作 常用的参数drop reject有区别 [[email prote

10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用

10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 扩展 iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html iptables限制syn速率 http://www.aminglinux.com/bbs/thre

10.15 iptables filter表小案例;10.16—10.18 iptables nat

扩展: 1. iptables应用在一个网段: http://www.aminglinux.com/bbs/thread-177-1-1.html 2. sant,dnat,masquerade: http://www.aminglinux.com/bbs/thread-7255-1-1.html 3. iptables限制syn速率: http://www.aminglinux.com/bbs/thread-985-1-1.html 10.15 iptables filter表小案例 ipta

iptables的实战整理

一.iptables使用场景: 内网情况下使用:在大并发的情况下不要开iptables否则影响性能 二.iptables出现下面的问题: 在yewufangwenbijiaoman/var/log/message中出现 ip(nf)_conntrack: table full 使得企业访问较慢的解决方法: vim /etc/sysctl.conf #加大 ip_conntrack_max 值 net.ipv4.ip_conntrack_max =393216 net.ipv4.netfilter

iptables学习总结

一.iptables 基础 1.容器:包含或者说属于的关系 2.Netfilter/iptables是表的容器,iptables包含的各个表 (filter,NAT,MANGLE,RAW) 3.iptables的表tables又是链的容器 链chains:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING 4.链chains是规则容器: 5.规则Policy:一条条过滤的语句. 二.查看系统内核防火墙功能模块加载情况 lsmod |egrep "nat|fil

防火墙之iptables

总览 iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改] iptables - RI iptables -D chain rule num[option] iptables -LFZ 链名 [选项] iptables -[NX] 指定链 iptables -P chain target[options] iptables -E old-chain-name new-chain-name 说明 Iptalbes 是用来设置.维护和检查Linux内核的IP包过滤规则的.

iptables 使用

------------实践----------------- 1 iptables -L -v shows (note the counts for INPUT and OUTPUT 2  iptables-save >/root/my.active.firewall.rules    iptables-restore </root/my.active.firewall.rules 3 删除一个 -L 显示当前的行号 -D 删除具体行数 iptabels -D INPUT -s 192.16

2018-1-25 7周4次课 iptables

10.15 iptables filter表小案例 #! /bin/bash ipt="/usr/sbin/iptables" $ipt -F (清控规则) $ipt -P INPUT DROP (INPUT策略DROP掉) $ipt -P OUTPUT ACCEPT (OUTPUT策略可接受) $ipt -P FORWARD ACCEPT (FORWARD策略可接受) $ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCE

10.15-10.18 iptables filter表案例 iptables nat表应用

七周四次课(3月22日) 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 扩展1. iptables应用在一个网段  http://www.aminglinux.com/bbs/thread-177-1-1.html2. sant,dnat,masquerade   http://www.aminglinux.com/bbs/thread-7255-1-1.html3. iptables限制syn速率  http://www.