linux的iptables filter表案例及iptables nat应用

最新推荐文章于 2024-10-10 10:49:27 发布
最新推荐文章于 2024-10-10 10:49:27 发布
阅读量108 收藏
点赞数
文章标签: 操作系统 网络
原文链接:http://blog.51cto.com/taoxie/2046225
版权

1. iptables filter表案例

iptables小案例需求

只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.1.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。

由于这个需求有多条规则,所以最好写成脚本的形式,操作示例如下:

[root@gary-tao ~]# vi /usr/local/sbin/iptables.sh //加入如下内容,保存退出。
脚本内容:
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT  
[root@gary-tao ~]# sh /usr/local/sbin/iptables.sh //执行脚本
[root@gary-tao ~]# iptables -nvL //查看规则
Chain INPUT (policy DROP 193 packets, 14785 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   25  1764 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       192.168.133.0/24     0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16 packets, 1504 bytes)
 pkts bytes target     prot opt in     out     source               destination
关于icmp有一个特殊的应用:
[root@gary-tao ~]#iptables -I INPUT -p icmp --icmp-type 8 -j DROP

解释:这里的--icmp-type选项要跟-p icmp一起使用,后面指定类型编号。这个8指的是本机能ping通其他机器,而其他机器不能ping通本机,请牢记。

2. iptables nat表应用

linux的iptables功能规则是十分强大的,可以实现很多功能,路由器共享上网的功能就是通过由linux的iptables实现的,而iptables又是通过nat表作用而实现的。

举例说明:

假设有两台机器,A机器有两块网卡ens33(192.168.100.1)、ens37(192.168.1.185),ens33可以上外网,但ens37仅仅是内部网络,而B机器只有ens37(192.168.1.186),和A机器ens37可以通信互联。

需求1:可以让B机器连接外网

操作命令如下:

echo "1" > /proc/sys/net/ipv4/ip_forward //echo 1到配置文件打开转发功能
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens37 -j MASQUERADE //-o表表示出口的网卡,MASQUERA表示伪装。

解释:

  1. 第一个命令涉及内核参数相关的配置文件,它的目的是打开路由转发功能,否则无法实现我们的应用。
  2. 第二个命令则是iptables对nat表做了一个IP转发的操作,-O选项后面跟设备名,表示出口的网卡,MASQUERADE表示伪装。

转载于:https://blog.51cto.com/taoxie/2046225

weixin_34358365
关注
Linux 防火墙 iptables filternat.pdf
08-14
Linux 防火墙 iptablesfilter(包过滤防火墙)和 nat(路由转换)详解_linuxfilternat.pdf
iptables实现网络防火墙及地址转换
reblue520的专栏
02-25 517
iptables主机防火墙功能及常用命令 FSM:Finite State Machine 有限状态机 客户端:closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL) 服务器:closed -->listen -->syn_...
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter一样,nat也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
linux 防火墙之nat
darren‘s blog
11-01 3837
NAT,作用是对网络地址进行转换,主要有两个功能:1. DNAT 网络目的地址转换; 2. SNAT 网络源地址转换。 这里有两个应用场景便于理解NAT的两个功能: 1.公司里有几台服务器需要对外提供服务,但公司只有一个外网ip地址,怎么让几台服务器共用一个ip地址? 2.家庭里很手机、电脑等设备,一般会通过wifi连到路由器上,然后上外网,仔细推敲下手机电脑获取的是路由器分配的
iptables实例之 --- nat应用
weixin_34228617的博客
11-30 126
2019独角兽企业重金招聘Python工程师标准>>> ...
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
LINUXIPTABLES防火墙的基本使用教程
01-20
iptables有4种:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个可以配置多个链: * 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT * 对于nat来讲...
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
linux24-iptables
08-10
Linux IptablesLinux内核中的一个核心组件,主要用于网络安全管理和数据包过滤。它在2.4版本的Linux内核中被集成,并且通常被称为netfilter/iptablesIptables提供了一种强大的机制,能够在网络的各个层面进行...
LinuxiptablesNAT功能实现路由器
seven407的专栏
09-29 3927
方法: 提示: 以下方法只适用于红帽企业版Linux 3 以上。 1、打开包转发功能: echo "1" > /proc/sys/net/ipv4/ip_forward 2、修改/etc/sysctl.conf文件,让包转发功能在系统启动时自动生效: # Controls IP packet forwarding net.ipv4.ip_forw
Linux学习笔记(三十二)iptables filter案例iptables nat应用
weixin_34232744的博客
03-22 106
一、iptables filter案例需求:将80、20、21端口放行,对22端口指定特定的ip才放行以下为操作方法:vim /usr/local/sbin/iptables.sh //加入如下内容#!/bin/bashipt="/usr/sbin/iptables"//定义一个变量,写iptables的绝对路径 $ipt-F...
IPtables中SNAT、DNAT和MASQUERADE的含义
热门推荐
jk110333的专栏
11-27 9万+
IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNAT和DNAT。 SNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访
鸿蒙NEXT开发-沉浸式导航和键盘避让模式(基于最新api12稳定版)
最新发布
qq_56760790的博客
10-10 996
鸿蒙沉浸式导航和键盘避让模式的学习包含了:沉浸式导航的基本介绍如何设置和键盘避让模式的设置用法
鸿蒙开发(NEXT/API 12)【访问控制&应用权限管控概述】程序访问控制
鸿蒙的技术博客
10-06 821
默认情况下,应用只能访问有限的系统资源。但某些情况下,应用存在扩展功能的诉求,需要访问额外的系统数据(包括用户个人数据)和功能,系统也必须以明确的方式对外提供接口来共享其数据或功能。
【2024版】最新kali linux入门及常用简单工具介绍(非常详细)零基础入门到精通,收藏这一篇就够了_kalilinux
weixin_57514792的博客
10-07 1177
最新kali linux入门及常用简单工具介绍
MacOS编译和安装Poco库的方法
小笛子的博客
10-04 312
macos编译POCO方法
0x00000241 errcode:577 Windows 无法验证此文件的数字签名
啊渊的专栏
10-10 102
问题描述:0x00000241 errcode:577 Windows 无法验证此文件的数字签名安装自己开发的驱动失败导致。
windows C++-创建数据流代理(三)
苏洛的博客
10-08 305
控制流指的是程序中操作的执行顺序。 控制流是通过使用条件语句、循环等控制结构调节的。 此外,数据流指的是一种编程模型,在这种模型中,只有当所有需要的数据都可用时,才会进行计算。 数据流编程模型与消息传递这一概念相关,其中程序的独立组件通过发送消息相互通信。 异步代理同时支持控制流和数据流编程模型。 尽管控制流模型适用于许多情况,但数据流模型也适用于其他一些情况,例如,当代理接收数据并执行基于该数据的有效负载的操作时。
iptables防火墙实战:filternat应用、扩展规则解析
"10.6章节讲解了iptables防火墙的使用,包括filter控制、扩展匹配、nat的典型应用,以及对相关知识点的总结和解答。文档通过多个案例介绍了iptables的基本管理和应用,如关闭firewalld,启用iptables服务,添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值