0、iptables(ACL)的匹配原则:

与cisco等一致,从上到下依次匹配。

1、iptables的基本用法:。

(1)命令格式

iptables [–ttable] command [match] [target]

table:表,有三个:filter(过滤) nat(转发) mangle(更改)

表的组成格式:链表。

command:命令,有很多:

-A –append:添加

-D –delete:  删除

-G –policy:  策略

-N –new-chain 链表

-L –list:      列出链中规则

-R –replace:  替换链表匹配的规则

-C –check:   检查匹配

-I –insert:     插入规则

举例:

-A INPUT

-I OUTPUT 3(插入到第3条)

-D INPUT 10(删除第10条)

match:匹配

-p:策略

-s:源

-d:目的

--sport:源端口

--dport:源地址

-i:入接口

-o:出接口

target:目标或者说操作

accept、drop、reject、return、log、tos 、snat、dnat、masquerade、redirect、mark、return(返回主链,中间可以转到自定义链)

(2)简单操作介绍:

接收数据包:

iptables –A INPUT –s192.168.1.0/24 –j ACCEPT

拒绝数据包:

iptable –A INPUT –s192.168.1.2 --dport 80 -j DROP

查看规则表

Iptables -L –nv

2、扩展:

--icmp-type:对应icmp的类型

--tcp-flag :syn ack fin psh rst urg(至少匹配两个为1 不匹配强制匹配为0)

3、iptables的实例:

(1)filter

要求:内网用户sale只能访问内网http服务器内网接口,tech只能访问ftp,ping全部关闭。telnet全部关闭。内部用户不能上外网。外网用户只能访问http外网接口。(nat部分后面介绍)

iptables

默认链清空iptables –Z

开始:

(1)                  对于inside口:(都有-i inside 或 –oinside,写不开了)

*iptables –t filter–A INPUT –s 192.168.1.0/24 –d 192.168.254.2 –p tcp –dport 21,22 –j ACCEPT

*iptables –tfilter –A INPUT –s 192.168.2.0/24 –d 192.168.254.1 –p tcp –dport 80 –j ACCEPT

*iptables –tfilter –A INPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

*iptables–t filter–A OUTPUT –s 192.168.254.2 –d 192.168.1.0/24 –p tcp –sport 21,22 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 192.168.254.1 –d 192.168.2.0/24 –p tcp –sport 80 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

(2)                  对于outside口:(都有-i outside 或 –o outside,写不开了)

*ipables –t filter–A INPUT –s 0.0.0.0/0 –d 202.200.200.1 –p tcp –dport 80 –j ACCEPT

*ipables –t filter–A INPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

*iptables –tfilter –A OUTPUT –s 202.200.200.1 –p –sport 80 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

(3)                  对于DMZ口:(都有-i DMZ 或 –oDMZ,写不开了):重复性的

*iptables –t filter–A INPUT –s 192.168.1.0/24 –d 192.168.254.2 –p tcp –dport 21,22 –j ACCEPT

*iptables –tfilter –A INPUT –s 192.168.2.0/24 –d 192.168.254.1 –p tcp –dport 80 –j ACCEPT

ipables –t filter–A INPUT –s 0.0.0.0/0 –d 202.200.200.1 –p tcp –dport 80 –j ACCEPT

*iptables –tfilter –A INPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

*iptables–t filter–A OUTPUT –s 192.168.254.2 –d 192.168.1.0/24 –p tcp –sport 21,22 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 192.168.254.1 –d 192.168.2.0/24 –p tcp –sport 80 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 202.200.200.1 –p –sport 80 –j ACCEPT

*iptables –tfilter –A OUTPUT –s 0.0.0.0/0 –d 0.0.0.0/0 –j DROP

(2)nat

要求:主机20.20.20.2做地址转换;服务器10.10.10.2做端口映射。

*iptables –t nat–A POSTROUTING –o out –s 20.20.20.2 –j SNAT –to 192.168.1.49

*iptables –t nat–A POSTROUTING –i out –s 0.0.0.0/0 –j SNAT –to 192.168.1.48

*iptables –t nat–A POSTROUTING –o out –s 10.10.10.2 –j DNAT –to 192.168.1.50

*iptables –t nat–A POSTROUTING –i out –s 0.0.0.0/0 –p tcp –port 80 –j REDIRECT

--to-port 1080

LINUX IPTABLES 防火墙配置的更多相关文章

  1. Linux学习笔记 --iptables防火墙配置

    iptables防火墙配置 一.防火墙简介 1.功能: 1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙 2)分割内网和外网[附带的路由器的 ...

  2. iptables防火墙配置

    iptables防火墙配置 一.防火墙简介 1.功能: 1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙 2)分割内网和外网[附带的路由器的 ...

  3. Linux iptables 防火墙

    内容摘要 防火墙 防火墙定义 防火墙分类 netfilter/iptables netfilter 设计架构 iptables 简述 iptables 命令详解 命令语法 table 参数 comma ...

  4. linux iptables 防火墙简介

    iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非 ...

  5. Keepalived 无法自动转换主备角色,请关注 iptables 防火墙配置

    最近在研究服务器高可用集群 (HA)…… 搭建了主备两台Keepalived,配置什么的全是网上照抄的,被验证过无数遍的示例…… 然而Master和Backup无法自动切换.两边会同时绑定浮动IP(V ...

  6. 15.linux iptables防火墙规则vsftp服务

    一.服务所开启的端口号.          dhcp 67       samba 139 445       http 80  https 443       mysql 3306         ...

  7. Linux iptables防火墙

    查找安装包yum list | grep iptables 安装iptables yum install iptables-services 重启防火墙使配置文件生效 systemctl restar ...

  8. Linux iptables 防火墙设置

    1.查看防火墙iptables -L -niptablesb -L -n --line-number  显示规则行号看到 INPUT ACCEPT, FORWARD ACCEPT , OUTPUT A ...

  9. CentOS Linux iptables 防火墙

    快速安装,配置,启动,检查 - 关闭 5002 - 5011 端口开放所有其它 yum install iptables iptables -F iptables -X iptables -Z ipt ...

随机推荐

  1. MS-SQL 删除数据库所有的表

    godeclare @tbname varchar(250)declare #tb cursor for select name from sysobjects where objectpropert ...

  2. Web API(三):创建Web API项目

    在本篇文章中将讲解如何使用Visual Studio创建一个新的ASP.NET Web API项目. 在Visual Studio中有两种方式用于创建Web API项目: 1.创建带MVC的Web A ...

  3. 高性能高并发网络库:StateThreads

    StateThreads是一个C的网络程序开发库,提供了编写高性能.高并发.高可读性的网络程序的开发库,轻量级网络应用框架 共也就3000行C代码 网络程序(Internet Application) ...

  4. css样式DEMO

    <!-- 导入框 --> <div id="importWin" class="easyui-window" title="服务封装 ...

  5. 【R】提升R代码运算效率的11个实用方法

    低.有许多种方法可以提升你的代码运算效率,但或许你更想了解运算效率能得到多大的提升.本文将介绍几种适用于大数据领域的方法,包括简单的逻辑调整设计.并行处理和Rcpp的运用,利用这些方法你可以轻松地处理 ...

  6. python将数据写入mysql乱码的解决办法

    1.错误为:插入乱码 报错: Python模块MySQLdb操作mysql出现2019错误:Can't initialize character set utf-8 解决: 写入数据语句为: cnn ...

  7. 数据库 Oracle监听实例详解

    Oracle实例别名 IMCDB = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = )) (CONNECT_D ...

  8. e643. 以匿名类处理事件

    If an event handler is specific to a component (that is, not shared by other components), there is n ...

  9. (转)x264代码详细阅读之x264.c,common.c,encoder.c

    转自:http://alphamailpost.blog.163.com/blog/static/201118081201281103931932/ x264代码详细阅读第一之x264.chttp:/ ...

  10. unity之Mathf类

    说明:Mathf类主要提供数学计算的函数与常量,包含了所有数学计算时需要用到的函数.所以掌握Mathf类里面的成员变量和成员函数是必要的. 使用Mathf:通常的如果使用一个类中的成员变量或者成员函数 ...