基于linux下的防火墙iptables的管理

一、iptables的管理
1、iptables管理默认表的基本设置

systemctl stop firewalld
systemctl disable firewalld
systemctl start iptables.service
systemctl enable iptables.service
iptables -nL
iptables -F 刷新
iptables -nL
service iptables save
vim /etc/sysconfig/iptables

这里写图片描述
这里写图片描述
这里写图片描述

-P修改默认策略表 
-A 添加策略
-I 插入,可以指定位置
-n 不做解析显示ip
-F 临时情况空策略
-L 显示策略表
-R 直接在原有策略上修改策略
-T 表明
-D删除策略
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -j REJECT 所有访问80端口的请求被拒绝
iptables -nL  不做解析显示策略表
iptables -R INPUT 1 -s 172.25.88.250 -p tcp --dport 80 -j ACCEPT 修改策略只让172.25.88.250访问
iptables -D INPUT 3 删除表中第3 行
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
iptables -t filter -I INPUT 2 -j ACCEPT

这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
2、iptables管理数据访问接口

iptables -N REDHAT 添加新的链
iptables -E REDHAT WESTOS 修改规则链名称
iptables -X WESTOS  删除规则链

这里写图片描述
这里写图片描述

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3260 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -nL
iptables -F 刷新策略

这里写图片描述

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -nL
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -j REJECT
iptables -nL
service iptables save
cat /etc/sysconfig/iptables

这里写图片描述
这里写图片描述
这里写图片描述
3.iptables管理下的地址转换

iptables防火墙的地址转换
iptables -t nat -nL显示nat表
iptables -t nat -F 清空nat
(两块网卡的虚拟机)
iptables -t nat -A POSTROUTING (路由后)-o eth0 -j SNAT --to-source 172.25.88.56
iptables -t nat -A POSTROUTING (路由前)-i eth0 -j SNAT --to-source 172.25.0.55

这里写图片描述
这里写图片描述

测试
(ip为172.25.0.55)
ping 172.25.88.250 可以ping通
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DANT --to-dest 172.25.0.55
测试:
ssh root@172.25.88.56 
ifconfig  ip为172.25.0.55

这里写图片描述
这里写图片描述

阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页