Linux核心防火牆,工作在網路層

fjzcau發表於2015-01-24
核心防火牆,工作在網路層
包過濾(過濾包頭)
linux藉助nat可以實現路由功能

伺服器有進出規則,逐條,由上至下

表包含鏈,鏈包含自己的規則
filter表(不讓刪):
          INPUT鏈;
          FORWARD鏈;
          OUTPUT鏈
iptables -xnvL     檢視錶,預設filter表
iptables -t nat -xnvL     檢視nat表

匹配物理曾的資料需要額外模組

iptables -t filter  -A INPUT -i eth0 -m mac --mac-source 00:E0:4C:41:95:DD -s 192.168.1.0/24 -d 192.168.1.3 -p tcp --sport 80 --dport 22 -j ACCEPT
-t filter:指定表
-A INPUT:新增規則到指定鏈
-i eth0:進入網路卡
-m mac --mac-source 00:E0:4C:41:95:DD     :mac地址
-s 192.168.1.0/24     :原地址
-d 192.168.1.3     :目的地址
-p tcp --sport 80 --dport 22     :指定協議和埠
-j ACCEPT     允許
   REJECT     回送一個目的不可達
   DROP     直接丟棄不回送
-Z          把統計的包的數量清零
iptables -P INPUT DROP     改預設規則為DROP

預設追加在最後插入,如果想改變追加位置:
     iptables -I INPUT 在最頂端追加
               -I INPUT 3     在指定位置追加
              
iptables -D INPUT 3     刪除指定號碼的策略
iptables -R INPUT 2 (修改)指定2號進行替換
iptables -F     清空所有規則

新增一個鏈:
iptables -N     abc
刪除一個鏈:
iptables -X  abc

service iptables save     儲存iptables,否則重啟服務就清空。
/etc/rc.d/下建立指令碼:
     iptables -F
     iptables -P DROP
     iptables -i lo -j ACCEPT
     iptables -A INPUT  -m state --state NEW -p tcp --dport 80 -j ACCEPT    

多埠:
     -m multiport --dports 21,22,80    


支援lftp:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp ports=21
-m state --state ESTABLISHED,RELATED
NEW               一個全新的連結
ESTABLISHED     建立一次連結,該連結返回的連結
RELATED          由一個連結產生的一個連結
INVALID          非法的連結

DNAT     目的地址轉換,路由前作
SNAT     原地址轉換,路由後作

小型區域網上網,要把內網IP換成公網支援的IP:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 59.59.59.59     換IP,從撥號得來
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE          轉換成動態IP

公網IP訪問我的區域網的192.168.1.3
iptables -t nat -A PREROUTING -d 59.59.59.59 -p tcp --dport 8080 -j DNAT --to 192.168.1.4:80

訪問80埠,轉到web1的8080埠
iptables -t nat -A PREROUTInG -p tcp --dport 80 -j DNAT --to web1 --ports 8080(目的地址轉換)

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 80 -o ppp0 -j MASQUERADE(原地址轉換)


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22661144/viewspace-1413446/,如需轉載,請註明出處,否則將追究法律責任。

相關文章