个人随笔
目录
iptables常用命令以及SNAT和DNAT
2022-08-09 21:37:04

iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。

语法

  1. iptables(选项)(参数)

选项

  1. -t<表>:指定要操纵的表;
  2. -A:向规则链中添加条目;
  3. -D:从规则链中删除条目;
  4. -I:向规则链中插入条目;
  5. -R:替换规则链中的条目;
  6. -L:显示规则链中已有的条目;
  7. -F:清楚规则链中已有的条目;
  8. -Z:清空规则链中的数据包计算器和字节计数器;
  9. -N:创建新的用户自定义规则链;
  10. -P:定义规则链中的默认目标;
  11. -h:显示帮助信息;
  12. -p:指定要匹配的数据包协议类型;
  13. -s:指定要匹配的数据包源ip地址;
  14. -j<目标>:指定要跳转的目标;
  15. -i<网络接口>:指定数据包进入本机的网络接口;
  16. -o<网络接口>:指定数据包要离开本机所使用的网络接口。

iptables命令选项输入顺序:

  1. iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括:

  1. raw:高级功能,如:网址过滤。
  2. mangle:数据包修改(QOS),用于实现服务质量。
  3. net:地址转换,用于网关路由器。
  4. filter:包过滤,用于防火墙规则。

规则链名包括:

  1. INPUT链:处理输入数据包。
  2. OUTPUT链:处理输出数据包。
  3. PORWARD链:处理转发数据包。
  4. PREROUTING链:用于目标地址转换(DNAT)。
  5. POSTOUTING链:用于源地址转换(SNAT)。

动作包括:

  1. ACCEPT:接收数据包。
  2. DROP:丢弃数据包。
  3. REDIRECT:重定向、映射、透明代理。
  4. SNAT:源地址转换。
  5. DNAT:目标地址转换。
  6. MASQUERADEIP伪装(NAT),用于ADSL
  7. log:日志记录。

实例

清除已有iptables规则

  1. iptables -F
  2. iptables -X
  3. iptables -Z

开放指定的端口

  1. iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
  2. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
  3. iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
  4. iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
  5. iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
  6. iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
  7. iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
  8. iptables -A INPUT -j reject #禁止其他未允许的规则访问
  9. iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问

屏蔽IP

  1. iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
  2. iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
  3. iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
  4. iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是

查看已添加的iptables规则

  1. iptables -L -n -v

删除已添加的iptables规则

将所有iptables以序号标记显示,执行:

  1. iptables -L -n --line-numbers

比如要删除INPUT里序号为8的规则,执行:

  1. iptables -D INPUT 8

更多命令

1.将192.168.0.83进入本机的icmp协议包都丢弃

  1. #iptables -t filter -A INPUT -p icmp -s 192.168.0.83 -j DROP

2.不允许192.168.0.83主机通过本机的DNS服务来执行名称解析

  1. #iptables -A INPUT -p udp -s 192.168.0.83 --dport 53 -j REJECT

3.允许192.168.0.83主机连接到本机的TELNET服务

  1. #iptables -A INPUT -p tcp -s 192.168.0.83 --dport 23 -j ACCEPT

4.允许192.168.1.0/24网段的主机向本机192.168.0.1提出任何服务请求

  1. #iptables -A INPUT -p all -s 192.168.1.0/24 -d 192.168.0.1 -j ACCEPTT

5.只允许客户端主机从eth1这个接口访问本机的SSH服务

  1. #iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT

6.不允许本机的应用程序从eth0接口发送数据包去访问edu.uuu.com.tw以外的网站

  1. #iptables -A OUTPUT -o eth0 -p tcp -d !edu.uuu.com.tw --dport 80 -j REJECT

7.不允许本企业内部的主机访问企业以外的任何网站

  1. #iptables -A FORWARD -i eht1 -o eth0 -p tcp --dport 80 -j DROP

SNAT转换

原理:修改数据包中的源IP地址
作用:局域网主机共享单个公网IP地址接入Internet
配置:nat表中的POSTROUTING链(出战)

主机A想访问互联网上的主机C,首先将请求数据包发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip,然后经互联网发送给C。

  1. iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ens37 -j SNAT--to-source 218.29.30.31
  2. ## -s 内网网段
  3. ## -o 防火墙服务器外网网卡
  4. ## -j SNAT策略
  5. ## --to-source 防火墙服务器外网口IP地址

作用是把linux服务器当作路由转发,让内网可以访问外网.

DNAT转换

原理:修改数据包中的目标IP地址
作用:将位于企业局域网中的服务器进行发布至互联网
配置:nat表中的PREROUTING链(入站)

互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包到达防火墙B后,在B上将请求数据包的目标地址进行修改,并将数据包发送给A。

  1. iptables -t nat -A PREROUTING -d 218.29.30.31 -i ens37 -j DNAT--to-destination 192.168.20.10
  2. ## -d 防火墙服务器外网口IP地址
  3. ## -i 防火墙服务器外网网卡
  4. ## -j DNAT策略
  5. ## --to-destination 内网服务器IP地址

目的是把内部服务器映射到外网。

 487

啊!这个可能是世界上最丑的留言输入框功能~


当然,也是最丑的留言列表

有疑问发邮件到 : suibibk@qq.com 侵权立删
Copyright : 个人随笔   备案号 : 粤ICP备18099399号-2