Linux 防火墙和 iptables

一、简介

http://liaoph.com/iptables/

 

二、操作

1)iptables 添删改查

http://blog.51yip.com/linux/1404.html

 

三、应用

1、NAT地址转换--实现外网转发内网

1)开启Linux网卡的转发功能

# vim /etc/sysctl.conf
    net.ipv4.ip_forward = 1
# sysctl -p

2)Net配置

模板

iptables -t nat -I PREROUTING -d 公网IP -p tcp --dport 公网PORT -j DNAT --to 内网IP:PORT
iptables -t nat -I POSTROUTING -d 内网IP -p tcp --dport 内网PORT -j SNAT --to 公网IP
iptables -I FORWARD -p tcp -d 内网IP --dport 内网PORT -j ACCEPT

实例

# HTTP 实现效果:http://4.4.4.6 的访问转发到4.4.4.25:8080
iptables -t nat -I PREROUTING -d 4.4.4.6 -p tcp --dport 80 -j DNAT --to 4.4.4.25:8080
iptables -t nat -I POSTROUTING -d 4.4.4.25 -p tcp --dport 8080 -j SNAT --to 4.4.4.6
iptables -I FORWARD -p tcp -d 4.4.4.25 --dport 8080 -j ACCEPT  

# HTTPS 实现效果:https://4.4.4.6 的访问转发到4.4.4.25:443 
iptables -t nat -I PREROUTING -d 4.4.4.6 -p tcp --dport 443 -j DNAT --to 4.4.4.25:443
iptables -t nat -I POSTROUTING -d 4.4.4.25 -p tcp --dport 443 -j SNAT --to 4.4.4.6
iptables -I FORWARD -p tcp -d 4.4.4.25 --dport 443 -j ACCEPT  

# TCP 实现效果:ssh 4.4.4.6 登陆的是主机 4.4.4.25
iptables -t nat -I PREROUTING -d 4.4.4.6 -p tcp --dport 22 -j DNAT --to 4.4.4.25:22
iptables -t nat -I POSTROUTING -d 4.4.4.25 -p tcp --dport 22 -j SNAT --to 4.4.4.6
iptables -I FORWARD -p tcp -d 4.4.4.25 --dport 22 -j ACCEPT

 

 

参考:http://blog.csdn.net/gold2008/article/details/8282919
时间: 2024-10-09 20:38:21

Linux 防火墙和 iptables的相关文章

Linux防火墙:iptables禁IP与解封IP常用命令

在Linux下,使用ipteables来维护IP规则表.要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作. 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命令: iptables -D INPUT -s ***.***.***.*** -j DROP 参数-I是表示Insert(添加),-D表示Delete(删除).后面跟的是规则,INPUT表示入站,***.***

Linux防火墙简介 – iptables配置策略

Netfilter/iptables简介 ????要想真正掌握Linux防火墙体系,首先要搞清楚Netfilter和iptables的关系,Netfilter和iptables包含在Linux2.4以后的内核中,可实现防火墙.NAT和数据包分割的功能.Netfilter采用模块化设计,具有良好的可扩展性.Netfilter是一个框架,iptables则是我们用户层的工具,通过iptables我们可以配置很多规则,这些规则加载到Netfilter框架中生效. ????Netfilter可以和协议栈

Linux防火墙工具iptables基础介绍

iptables基础知识说明: 一.规则链:规则链是防火墙规则/策略的集合 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链:在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包 二.规则表:规则表是规则链的集合(优先顺序:raw.mangle.nat.filter) raw表:确定是否对该数据包进行状态跟踪(OUTPUT.PREROUTING) mangle表:为数据包设置标记(PREROUNTING.

linux防火墙之iptables

linux有两个防火墙机制,一个是selinux,一个是netfilter. selinux这种机制的限制太多,配置也特别繁琐,所以很少有人去应用它,我们一般都要把selinux关闭,以免引起不必要的麻烦.selinux可以用命令:setenforce 0临时关闭或者修改配置文件vim /etc/selinux/config将SELINUX=enforcing改为SELINUX=disabled永久关闭. 下面主要讲netfilter防火墙:大家习惯叫它iptables,iptables是lin

Linux防火墙之iptables入门

一.防火墙的概念 什么是防火墙?防火墙是一台或一组设备,用以在网络间实施访问控制策略:事实上一个防火墙能够包含OSI模型中的很多层,并且可能会涉及进行数据包过滤的设备,它可以实施数据包检查和过滤,在更高的层次中对某应用程序实现某一策略,或做更多类似的事情.防火墙的功能主要是隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则定义的行为进行处理的一组功能组件,基本上的实现都是默认情况下关闭所有的访问,只开放允许访问的策略:防火墙分主机防火墙.网络防火墙.硬件防

Linux防火墙(iptables )的功能详解二

iptables/netfilter的网络防火墙 接上文继续讲解网络防火墙和nat功能的基础功能: 网络防火墙的功能简单讲就是,所有经由本机的一个接口进来的报文在本地路由决策后路由的目标地址不是本机,需要帮忙转发到其它网络当中或来源网络中去的这种请求时的场景,我们就称为转发功能: 那么转发的报文必须是经由forward链(含三个链,prerouting,forward,postrouting),不过过滤只能在forward实现: 请注意:定义在forward链上的策略只对那些经由本机转发的报文才

Linux 防火墙工具--iptables

iptables介绍 iptables是基于内核的防火墙,功能非常强大,iptables内置了"三表五链" 三张表 1.filter     定义允许或者不允许的 2.nat       定义地址转换的 3.mangle     修改报文原数据 五个规则链 1.PREROUTING (路由前) 2.INPUT (数据包流入口) 3.FORWARD (转发管卡) 4.OUTPUT(数据包出口) 5.POSTROUTING(路由后) 对于filter来讲只能做在3个链上:INPUT ,FO

Linux防火墙之iptables建立规则和链

在RHEL 7.0中安装启动iptables: yum install iptables-services                    #安装iptables systemctl mask firewalld.service              #屏蔽firewalld服务 systemctl enable iptables.service            #设置开机启动 systemctl enable ip6tables.service          #设置开机启动

Linux防火墙之iptables常用扩展处理动作

前文我们讲了iptables的扩展匹配,一些常用的扩展模块以及它的专有选项的使用和说明,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12285152.html:今天我们来说说iptables的处理动作:iptables的处理动作分基本处理动作和扩展处理动作,基本处理动作有ACCEPT和DROP 这两个动作很好理解,一个表示放行操作,一个表示丢弃操作.扩展处理动作有REJECT,这个动作表示拒绝,通常情况下建议都用DROP 去丢弃不想通过的报文,REJEC