iptables简单了解
简介
Iptables是unix/linux自带的一款优秀且开源的基于包过滤的防火墙工具。
怎么用
可以用来做主机防火墙。
可以做局域网共享上网。
可以做ip及端口映射。
Iptables工作流程
iptables分为4表5链
表:
filter:INPUT,OUTPUT,FORWARD
NAT:POSTROUTING,PREROUTING,OUTPUT
mangle:INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING
raw:PREROUTING,OUTPUT
链:
INPUT:进入主机的数据包。
OUTPUT: 流出主机的数据包。
FORWARD: 流经主机的数据包。
PREROUTING: 进入服务器最先经过的链,用来做NAT端口或ip映射
POSTROUTING: 流出服务器最后经过的链,NAT共享上网。 局域网共享上网。
4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:优限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
RAW 表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链 上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.
RAW表可以应用在那些不需要做nat的情况下,以提高性能。如大量访问的web服务器,可以让80端口不再让iptables做数据包的链接跟踪处理,以提高用户的访问速度。
iptables命令
[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport -j ACCEPT #添加filter表,开放21端口 [root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/ -j MASQUERADE #添加nat表,将源地址是 192.168.10.0/ 的数据包进行地址伪装 [root@linux ~]# iptables -I INPUT -p tcp -m tcp --dport -j ACCEPT #添加filter表,开放20端口,并且插入到指定位置 [root@linux ~]# iptables -L -n --line-number
Chain INPUT (policy DROP)
num target prot opt source destination
ACCEPT all -- 0.0.0.0/ 0.0.0.0/
DROP icmp -- 0.0.0.0/ 0.0.0.0/ icmp type
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt: #-I指定位置插的
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt:
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt:
ACCEPT all -- 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/ 0.0.0.0/ state INVALID,NEW
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt: #-A默认插到最后 Chain FORWARD (policy ACCEPT)
num target prot opt source destination Chain OUTPUT (policy ACCEPT)
num target prot opt source destination [root@linux ~]# iptables -L -n --line-number |grep #查看filter表,--line-number可以显示规则序号,在删除的时候比较方便 [root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number #查看nat表
Chain POSTROUTING (policy ACCEPT packets, bytes)
num pkts bytes target prot opt in out source destination
MASQUERADE all -- * * 192.168.10.0/ 0.0.0.0/ [root@linux ~]# iptables -R INPUT -j DROP #将规则3改成DROP [root@linux ~]# iptables -D INPUT #删除input的第3条规则 [root@linux ~]# iptables -t nat -D POSTROUTING #删除nat表中postrouting的第一条规则 [root@linux ~]# iptables -F INPUT #清空 filter表INPUT所有规则 [root@linux ~]# iptables -F #清空所有规则 [root@linux ~]# iptables -t nat -F POSTROUTING #清空nat表POSTROUTING所有规则 [root@linux ~]# iptables -P INPUT DROP #设置filter表INPUT默认规则是 DROP 把所有通过eth0这个网卡发往地址122.225.97.111的包都转发到局域网的中192.168.1.130这台机器上.它也可以配全--string功能更强大
[root@linux ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp\
--dst 122.225.97.111 --dport -j DNAT --to-destination 192.168.1.130: 将匹配到img.51yip.com的请求转到局域网的192.168.1.136这台机器上
[root@linux ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport \
-m string --string "img.51yip.com" --algo bm -j DNAT --to-destination 192.168.1.136: snat可以让本地ip地址伪装成其他机器的ip地址,或者是公网IP,假如我有三台机器,一台能上外网,另外二台却不可以.不能上网的机器可以伪装成可上网的那机器的IP
[root@linux ~]# iptables -t nat -I POSTROUTING -j SNAT -s 192.168.10.0/ --to-destination 192.168.1.108
iptables简单了解的更多相关文章
- iptables简单配置
iptables简单配置 分类: Linux 安全2010-10-20 16:56 4241人阅读 评论(0) 收藏 举报 input防火墙tcpfilterubuntuservice # iptab ...
- iptables简单使用
1.安装iptables yum install iptables-services 2.iptables简单使用 iptables防火墙文件路径/etc/sysconfig/iptables sys ...
- [ 总结 ] web server iptables 简单配置
[root@server ~]# iptables -F [root@server ~]# iptables -X [root@server ~]# iptables -A INPUT -m stat ...
- iptables 简单介绍及应用 Linux防火墙
iptables 即 Linux防火墙 的简单介绍及使用 iptables生效位置如下图: 其中, 网络防火墙也可以使用一台启用了iptables的Linux主机代替; 路由器或集线器等设施在拓扑中省 ...
- iptables 简单配置
通过命令 netstat -tnl 可以查看当前服务器打开了哪些端口 Ssh代码 netstat -tnl 查看防火墙设置 Ssh代码 iptables -L -n 开放 ...
- Linux iptables简单配置
#!/bin/sh#modprobe ipt_MASQUERADEmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpiptables -Fiptables -t ...
- iptables简单用法
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 &l ...
- iptables简单应用
可以修改/etc/rc.d/boot.local让规则重启后也能生效,如: /sbin/iptables -F /sbin/iptables -A INPUT -i eth0 -p tcp --spo ...
- iptables简单规则记录
先来一句:好记性不如烂笔头! 1.iptables简介 iptables是基于包过滤的防火墙,它主要工作在osi模型的2,,4层,也可以工作在7层(iptables + squid) 2.原理 防火墙 ...
随机推荐
- ios11--UIButton
// // ViewController.m // 02-UIButton(在代码中使用) // #import "ViewController.h" @interface Vie ...
- 布局技巧1:创建可重用的UI组件(include标签)
Android平台提供了大量的UI构件,你可以将这些小的视觉块(构件)搭建在一起,呈现给用户复杂且有用的画面.然而,应用程序有时需要一些高级的视觉组件.为了满足这一需求,并且能高效的实现,你可以把多个 ...
- github 用户不被识别问题
期末考完,继续开发. 用过的都知道,直接用的话贡献者上面显示不出自己. 查一下就知道是因为github的识别是靠邮箱设置的. 但是如果频繁创建新仓库,容易忘记设定用户名和邮箱. 突发奇想,发现 ...
- aixcoder智能编程助手开发插件推荐
1. aixcoder安装使用 1.1. 介绍 1.1.1. 功能 智能代码提示她用强大的深度学习引擎,能给出更加精确的代码提示: 代码风格检查她有代码风格智能检查能力,帮助开发者改善代码质量: 编程 ...
- quill支持json吗
RT quill目前的驱动(2.4.2版本)不支持json,等待作者更新版本吧
- 如何看待B站疑似源码泄漏的问题?
今天突然看到关于B站源码泄漏事.网曝B站整个网站后台工程源码遭泄露,开源项目平台Github上疑似出现了Bilibili网站后台工程,内含部分用户名密码.目前官方还没对此事作出任何回应,所以还无法确定 ...
- js判断客户端是手机端还是PC端
封装函数: function isPC() { var userAgentInfo = navigator.userAgent; var Agents = ["Android", ...
- python自动化测试学习笔记-5常用模块
上一次学习了os模块,sys模块,json模块,random模块,string模块,time模块,hashlib模块,今天继续学习以下的常用模块: 1.datetime模块 2.pymysql模块(3 ...
- 每天学点Linux命令之 vi 命令
来学一个vi的命令.要完成的是在一个只读文件中,删掉一行,然后插入两行. 那只读文件你要修改,用sudo vi 总可以了吧.首先 vi命令进入编辑模式. 在非插入模式中: h 光标左移 l 光标右移 ...
- 商业计算中Java高精度计算BigDecimal类
<Effective Java> 第48条:如果需要精确的答案,请避免使用float和double. 如果我们编译运行下面这个程序会看到什么?public class Test{ p ...