iptables小案例:
只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.1.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。
由于这个需求有多条规则,所以最好写成脚本的形式,操作示例如下:
vi /usr/local/sbin/iptables.sh 加入如下内容,保存退出。
脚本内容:
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
sh /usr/local/sbin/iptables.sh 执行脚本
iptables -nvL 查看规则
Chain INPUT (policy DROP 193 packets, 14785 bytes)
pkts bytes target prot opt in out source destination
25 1764 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.133.0/24 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16 packets, 1504 bytes)
pkts bytes target prot opt in out source destination
关于icmp有一个特殊的应用:
#iptables -I INPUT -p icmp --icmp-type 8 -j DROP
解释:这里的--icmp-type选项要跟-p icmp一起使用,后面指定类型编号。这个8指的是本机能ping通其他机器,而其他机器不能ping通本机,请牢记。
iptables nat表应用
linux的iptables功能规则是十分强大的,可以实现很多功能,路由器共享上网的功能就是通过由linux的iptables实现的,而iptables又是通过nat表作用而实现的。
举例说明:
假设有两台机器,A机器有两块网卡ens33(192.168.100.1)、ens37(192.168.1.185),ens33可以上外网,但ens37仅仅是内部网络,而B机器只有ens37(192.168.1.186),和A机器ens37可以通信互联。
需求1:可以让B机器连接外网
操作命令如下:
#echo "1" > /proc/sys/net/ipv4/ip_forward echo 1到配置文件打开转发功能
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens37 -j MASQUERADE -o表表示出口的网卡,MASQUERA表示伪装。
解释:
第一个命令涉及内核参数相关的配置文件,它的目的是打开路由转发功能,否则无法实现我们的应用。
第二个命令则是iptables对nat表做了一个IP转发的操作,-O选项后面跟设备名,表示出口的网卡,MASQUERADE表示伪装。
原文地址:http://blog.51cto.com/10690709/2114680