Linux核心防火牆,工作在網路層
核心防火牆,工作在網路層
包過濾(過濾包頭)
linux藉助nat可以實現路由功能
伺服器有進出規則,逐條,由上至下
表包含鏈,鏈包含自己的規則
filter表(不讓刪):
INPUT鏈;
FORWARD鏈;
OUTPUT鏈
iptables -xnvL 檢視錶,預設filter表
iptables -t nat -xnvL 檢視nat表
匹配物理曾的資料需要額外模組
iptables -t filter -A INPUT -i eth0 -m mac --mac-source 00:E0:4C:41:95:DD -s 192.168.1.0/24 -d 192.168.1.3 -p tcp --sport 80 --dport 22 -j ACCEPT
-t filter:指定表
-A INPUT:新增規則到指定鏈
-i eth0:進入網路卡
-m mac --mac-source 00:E0:4C:41:95:DD :mac地址
-s 192.168.1.0/24 :原地址
-d 192.168.1.3 :目的地址
-p tcp --sport 80 --dport 22 :指定協議和埠
-j ACCEPT 允許
REJECT 回送一個目的不可達
DROP 直接丟棄不回送
-Z 把統計的包的數量清零
iptables -P INPUT DROP 改預設規則為DROP
預設追加在最後插入,如果想改變追加位置:
iptables -I INPUT 在最頂端追加
-I INPUT 3 在指定位置追加
iptables -D INPUT 3 刪除指定號碼的策略
iptables -R INPUT 2 (修改)指定2號進行替換
iptables -F 清空所有規則
新增一個鏈:
iptables -N abc
刪除一個鏈:
iptables -X abc
service iptables save 儲存iptables,否則重啟服務就清空。
/etc/rc.d/下建立指令碼:
iptables -F
iptables -P DROP
iptables -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
多埠:
-m multiport --dports 21,22,80
支援lftp:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp ports=21
-m state --state ESTABLISHED,RELATED
NEW 一個全新的連結
ESTABLISHED 建立一次連結,該連結返回的連結
RELATED 由一個連結產生的一個連結
INVALID 非法的連結
DNAT 目的地址轉換,路由前作
SNAT 原地址轉換,路由後作
小型區域網上網,要把內網IP換成公網支援的IP:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 59.59.59.59 換IP,從撥號得來
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE 轉換成動態IP
公網IP訪問我的區域網的192.168.1.3
iptables -t nat -A PREROUTING -d 59.59.59.59 -p tcp --dport 8080 -j DNAT --to 192.168.1.4:80
訪問80埠,轉到web1的8080埠
iptables -t nat -A PREROUTInG -p tcp --dport 80 -j DNAT --to web1 --ports 8080(目的地址轉換)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 80 -o ppp0 -j MASQUERADE(原地址轉換)
包過濾(過濾包頭)
linux藉助nat可以實現路由功能
伺服器有進出規則,逐條,由上至下
表包含鏈,鏈包含自己的規則
filter表(不讓刪):
INPUT鏈;
FORWARD鏈;
OUTPUT鏈
iptables -xnvL 檢視錶,預設filter表
iptables -t nat -xnvL 檢視nat表
匹配物理曾的資料需要額外模組
iptables -t filter -A INPUT -i eth0 -m mac --mac-source 00:E0:4C:41:95:DD -s 192.168.1.0/24 -d 192.168.1.3 -p tcp --sport 80 --dport 22 -j ACCEPT
-t filter:指定表
-A INPUT:新增規則到指定鏈
-i eth0:進入網路卡
-m mac --mac-source 00:E0:4C:41:95:DD :mac地址
-s 192.168.1.0/24 :原地址
-d 192.168.1.3 :目的地址
-p tcp --sport 80 --dport 22 :指定協議和埠
-j ACCEPT 允許
REJECT 回送一個目的不可達
DROP 直接丟棄不回送
-Z 把統計的包的數量清零
iptables -P INPUT DROP 改預設規則為DROP
預設追加在最後插入,如果想改變追加位置:
iptables -I INPUT 在最頂端追加
-I INPUT 3 在指定位置追加
iptables -D INPUT 3 刪除指定號碼的策略
iptables -R INPUT 2 (修改)指定2號進行替換
iptables -F 清空所有規則
新增一個鏈:
iptables -N abc
刪除一個鏈:
iptables -X abc
service iptables save 儲存iptables,否則重啟服務就清空。
/etc/rc.d/下建立指令碼:
iptables -F
iptables -P DROP
iptables -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
多埠:
-m multiport --dports 21,22,80
支援lftp:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp ports=21
-m state --state ESTABLISHED,RELATED
NEW 一個全新的連結
ESTABLISHED 建立一次連結,該連結返回的連結
RELATED 由一個連結產生的一個連結
INVALID 非法的連結
DNAT 目的地址轉換,路由前作
SNAT 原地址轉換,路由後作
小型區域網上網,要把內網IP換成公網支援的IP:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 59.59.59.59 換IP,從撥號得來
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE 轉換成動態IP
公網IP訪問我的區域網的192.168.1.3
iptables -t nat -A PREROUTING -d 59.59.59.59 -p tcp --dport 8080 -j DNAT --to 192.168.1.4:80
訪問80埠,轉到web1的8080埠
iptables -t nat -A PREROUTInG -p tcp --dport 80 -j DNAT --to web1 --ports 8080(目的地址轉換)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 80 -o ppp0 -j MASQUERADE(原地址轉換)
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22661144/viewspace-1413446/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 三層核心+防火牆 注意事項薦防火牆
- 防火牆 | 網路協議防火牆協議
- 網路安全——防火牆詳解防火牆
- 在Linux中,如何配置防火牆?Linux防火牆
- 工作中的Linux防火牆心得薦Linux防火牆
- 網路防火牆的配置與管理防火牆
- linux 防火牆Linux防火牆
- 工作小記之防火牆防火牆
- 新手學堂:防火牆在網路中的功能和作用(轉)防火牆
- 用Linux系統防火牆功能抵禦網路攻擊Linux防火牆
- WAF與網路防火牆的區別防火牆
- LINUX 防火牆 firewalldLinux防火牆
- linux防火牆iptablesLinux防火牆
- linux 防火牆配置Linux防火牆
- Linux 配置防火牆Linux防火牆
- Linux防火牆命令Linux防火牆
- Linux配置防火牆Linux防火牆
- 1、iptables-基礎-包過濾防火牆-四層防火牆(只支援4層協議)防火牆協議
- 《Linux防火牆(第4版)》——2.6 私有網路服務VS公有網路服務Linux防火牆
- 防火牆模式工作模式簡介防火牆模式
- windows10網路防火牆在哪裡設定 windows10自帶網路防火牆怎麼設定Windows防火牆
- linux在防火牆上開啟1521埠Linux防火牆
- 在Linux中,如何設定防火牆規則?Linux防火牆
- win10 防火牆設定方法_win10怎麼設定網路防火牆Win10防火牆
- 聯瑞Bypass網路卡:築牢網路安全“防火牆”防火牆
- Linux 防火牆配置使用Linux防火牆
- linux 7 防火牆操作Linux防火牆
- linux下的防火牆Linux防火牆
- linux 關閉防火牆Linux防火牆
- iptables 配置LINUX防火牆Linux防火牆
- Linux防火牆基礎Linux防火牆
- linux關閉防火牆命令 linux防火牆關閉和開啟命令Linux防火牆
- win10如何關閉域防火牆_win10域網路防火牆關閉方法Win10防火牆
- 【網路安全】什麼Web應用防火牆?它與雲防火牆有什麼差異?Web防火牆
- 計算機網路之防火牆和Wlan配置計算機網路防火牆
- 在linux上用arptables配置arp防火牆Linux防火牆
- 在Linux中,如何配置防火牆和安全規則?Linux防火牆
- rmi、防火牆與網閘防火牆