iptable 详解_最全的iptables防火墙详解.pdf
最全的iptables防火墻詳解
iptables /
iptables /
iippttaabblleess官方網站:hhttttpp::nneettffiilltteerr..oorrgg//
? 數據包經過防火墻的路徑
? 禁止端口
? 強制訪問某站點
? 發布內部網絡服務器
? 智能DNS
? 端口映射
? 通過NAT上網
? IP 規則的保存與恢復
? iptables指令語法
? iptables實例
數據包經過防火墻的路徑
圖1比較完整地展示了一個數據包是如何經過防火墻的,考慮到節省空間,該圖實際上包了三種
情況:
來自外部,以防火墻(本機)為目的地的包,在圖1中自上至下走左邊一條路徑。
由防火墻(本機)產生的包,在圖1中從“本地進程”開始,自上至下走左邊一條路徑
來自外部,目的地是其它主機的包,在圖1中自上至下走右邊一條路徑。
圖1
如果我們從上圖中略去比較少用的mangle 表的圖示,就有圖2所顯示的更為清晰的路徑圖.
圖2
禁止端口的實例
ssh
ssh
禁止sssshh端口
只允許在上使用ssh遠程登錄,從其它計算機上禁止使用ssh
#iptables-A INPUT -s-p tcp--dport22-j ACCEPT
#iptables-A INPUT -ptcp--dport22-jDROP
禁止代理端口
#iptables-A INPUT -ptcp--dport3128-j REJECT
icmp
icmp
禁止iiccmmpp端口
除外,禁止其它人ping我的主機
#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type echo-request-j ACCEPT
#iptables-A INPUT -i eth0-picmp --icmp-typeecho-request –j ?DROP
或
#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type 8-jACCEPT
#iptables-A INPUT -i eth0-picmp -m icmp--icmp-type 8-j DROP
注:可以用iptables--protocolicmp--help 查看ICMP 類型
還有沒有其它辦法實現?
禁止QQQQ端口
#iptables-D FORWARD-pudp--dport8000-j REJECT
強制訪問指定的站點
圖3
要使/24網絡內的計算機(這此計算機的網關應設為0)強制訪問指定的站
點,在做為防火墻的計算機(0)上應添加以下規則:
1. 打開ip包轉發功能
echo1> /proc/sys/net/ipv4/ip_forward
2. 在NAT/防火墻計算機上的NAT表中添加目的地址轉換規則:
iptables-t nat-IPREROUTING -i eth0-ptcp--dport80-j DNAT --to-destination30:80
iptables-t nat-IPREROUTING -i eth0-pudp--dport80-j DNAT--to-destination30:80
3. 在NAT/防火墻計算機上的NAT表中添加源地址轉換規則:
iptables-t nat-IPOSTROUTING-o eth1-ptcp--dport80-s /24-j SNAT --to-source
0:20000-30000
iptables-t nat-IPOSTROUTING-o eth1-pudp--dport80-s/24-jSNAT --to-source
0:20000-30000
4. 測試:在內部網的任一臺計算機上打開瀏覽器,輸入任一非本網絡的IP,都將指向IP 為
30的網站.
發布內部網絡服務器
圖4
要使因特網上的計算機訪問到內部網的FTP 服務器、WEB 服務器,在做為防火墻的計算機上應
添加以下規則:
1.echo1>/proc/sys/net/ipv4/ip_forward
2. 發布內部網web服務器
iptables-t nat-IPREROUTING -ptcp-i eth1-s/24--dport80-jDNAT --to-destination
5:80
iptables-t nat-IPOSTROUTING-p
總結
以上是生活随笔為你收集整理的iptable 详解_最全的iptables防火墙详解.pdf的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python中和为k的个数_程序查找在p
- 下一篇: lsm tree java_BasicT