iptables配置详解
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [98:13940]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5555:8888 -j ACCEPT 开放5555--8888
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
iptables -L -n --line 显示行号
iptables -t filter -D INPUT 1 删除行号为1的规则
将本机80端口的请求转发到8080端口:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
Iptables参数
-m state --state <状态> 有数种状态,状态有:
▪ INVALID:无效的封包,例如数据破损的封包状态;
▪ ESTABLISHED:已经联机成功的联机状态;
▪ NEW:想要新建立联机的封包状态;
▪ RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设定了他之后,只要未来由本机发送出去的封包,即使我们没有设定封包的 INPUT 规则,该有关的封包还是可以进入我们主机, 可以简化相当多的设定规则。
Chain INPUT (policy ACCEPT)
target prot opt source destination
target prot opt source destination
target prot opt source destination
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
Chain INPUT (policy ACCEPT)
target prot opt source destination
target prot opt source destination
target prot opt source destination
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
Chain INPUT (policy ACCEPT)
target prot opt source destination
target prot opt source destination
target prot opt source destination
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
原理:如果内网用户希望共享LINUX主机的上网线路,则数据包由客户端发送到LINUX主机时,先经过NAT表的PREROUTING链,再经过POSTROUTING链,在POSTROUTING链中将内网的IP地址(源IP)更改为LINUX主机连接公网的IP地址,然后将记录缓存,当收到来自公网的回应数据时,在PREROUTING链的地方将目的地址修改为内网的客户端IP地址。
NAT分为两种,分别是源NAT(SNAT)和目的NAT(DNAT),顾名思义,SNAT就是改变转发数据包的---源地址,DNAT就是改变转发数据包的---目的地址。Linux系统上的NAT操作是通过iptables的nat表来完成,该表有三条默认Chain,它们分别如下。
PREROUTING:------DNAT 可在此定义目的NAT的规则,因为路由器进行路由时只检查数据包的目的IP地址,所以为了使数据包得以正确路由,必须在路由之前就进行目的NAT。
POSTROUTING:-----SNAT 可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后再执行该链中的规则。
OUTPUT:定义对本地产生的数据包的目的NAT规则。
当希望在NAT设备后边将内网的服务器发布到外部网络的时候,就会用到端口映射,前边也说了,NAT表中的PREROUTING链就是专门负责转换目的地址的,要设置端口映射当然要用到它了,这里以WEB服务器为例,端口为TCP的80端口。
[root@root ~]# iptables –t nat –A PREROUTING –p tcp –i eth1 --dport 80 –j DNAT --to 192.168.1.100:80
这样的话当外部用户访问LINUX的80端口的时候,就会重定向到内网的192.168.1.100上边去,如果内网WEB服务器用的不是常规80端口的话,直接在IP地址后边接其他端口就可以了,同理,也可以在LINUX主机上的非80端口映射到内网WEB服务器的80端口,除此之外,IPTABLES的端口映射还有比较高级的功能,那就是本机的端口重定向:
[root@root ~]# iptables –t nat –A PREROUTING --p tcp --dport 80 –j REDIRECT --to-ports 8080
这样当访问LINUX主机的80端口时会自动变为访问本机的8080端口。
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:211.101.46.235
target prot opt source destination
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
参考资料:http://wenku.baidu.com/link?url=eKgXuJtpTc8Da_phwZTm9q_-eGM56e-JKP2bNLwVmW1R2XY_H0A059BmuysvgMysBkBZjtol9EZBJf-rTAE3SCjynM60NBHqwGJv8XkeYKO
iptables配置详解相关推荐
- 查看linux iptables 配置文件,Linux iptables 配置详解
Linux iptables 配置详解 [日期:2012-12-29] 来源:Linux社区 作者:Linux [字体:大 中 小] 一.配置一个filter表的防火墙 1. 查看本机关于 iptab ...
- linux下IPTABLES配置详解
转载自 http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html 如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 ...
- IPTABLES简单应用说明和Linux下IPTABLES配置详解
如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n C ...
- CentOS下IPTABLES配置详解
iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置. 配置CentOS和Ubuntu等linux服务器时需要对 ...
- Linux iptables 配置详解
一.配置一个filter表的防火墙 1. 查看本机关于 iptables 的设置情况 # iptables -L -n Chain INPUT (policy ACCEPT) target p ...
- RHEL5.4 iptables 配置详解(图)
本节中将重点 介绍下iptables的配置,这可是保证网络安全的利器,iptables是基于内核的防火墙,内置了filter,nat和mangle三张 表,filter负责过滤数据包,nat则涉及到网 ...
- Iptables防火墙配置详解
iptables防火墙配置详解 iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. (1)filter表负责过滤数 ...
- linux防火墙ddos,Linux iptables防火墙详解 + 配置抗DDOS***策略实战
Linux iptables防火墙详解 + 配置抗DDOS***策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能. 在2.0内核中, ...
- 使用LVS实现负载均衡原理及安装配置详解
使用LVS实现负载均衡原理及安装配置详解 负载均衡集群是 load balance 集群的简写,翻译成中文就是负载均衡集群.常用的负载均衡开源软件有nginx.lvs.haproxy,商业的硬件负载均 ...
最新文章
- 显示DataGrid序号的一个适用的方法
- 读书笔记 | 墨菲定律(一)
- ES6(一)——字面量的增强、解构、let/const、块级作用域、暂时性死区
- 动态规划应用--找零钱
- 使用javafx百行代码搞定多边形面积计算(可下载)
- python连接mysql用哪个模块_Python连接MySQL数据库之pymysql模块使用
- Luogu P1122 最大子树和 树形DP
- python线程数组_Python多线程
- HTTP缓存策略 304
- 计算机领域国际会议分类及排名
- 4.2.5 求解幂集问题
- AutoCAD-图纸集使用方法
- 对训练集和测试集的PCA方法
- GSM/CDMA区别
- ios相机黑边_iOS照相机去黑框
- 愿你和我一样喜欢蛋炒饭
- cocos2d-x : csb的加载
- Linux命令:halt
- 使用 yarn 安装 marked
- 中国式的父慈子孝:爸妈用子女旧手机