注册
登录
电子工程世界-论坛
返回首页
EEWORLD首页
频道
EE大学堂
下载中心
Datasheet
专题
单片机
物联网
汽车电子
嵌入式
手机/便携
模拟电子
家用电子
网络通信
电源管理
工业控制
测试测量
半导体设计/制造
安防电子
传感器
医疗电子
daicheng的个人空间
https://home.eeworld.com.cn/space-uid-78216.html
[收藏]
[复制]
[分享]
[RSS]
空间首页
动态
记录
日志
相册
主题
分享
留言板
个人资料
借用开发板
论坛
淘帖
Collection
查看新帖
最新回复
社区活动
联系管理员
我的空间
帖子
日志
收藏
好友
勋章
积分
安全验证
请完成以下验证码
日志
iptables 资料
已有 1731 次阅读
2010-10-14 17:09
|
转:
表
filter #用于过滤
nat #做NAT
链
input
=
>
filter #目的ip是本机的数据包
forward
=
>
filter #穿过本机的数据包
prerouting
=
>
nat #修改目的地址(DNAT)
postrouting
=
>
nat #修改源地址(SNAT)
iptables -t 要操作的表 操作命令 要操作的链 规则号码 匹配条件 -j 匹配到以后的命令
iptables -I INPUT -j DROP #-t 默认为filter
iptables -I INPUT 3 -j DROP #链接里插入一条规则(插入第三条)
iptables -D INPUT 3 #按号码匹配删除
iptables -D INPUT -s 192.168.0.1 -j DROP #按内容匹配删除
iptables -R INPUT 3 -j ACCEPT #将原来3的规则改为-j ACCEPT
iptables -P INPUT DROP #设置默认规则
iptables -F INPUT #清空filter表INPUT链中的所有规则
iptables -t nat -F PREROUTING
iptables -t nat vxnL PREROUTING
--# v: 显示详细信息
--# x: 在v的基础上,禁止自动单位换算
--# n: 只显示IP地址和端口号码,不显示域名和服务名称
========匹配条件
-i -i eth0 #流入接口(是否从网口eth0进来)
-o #流出接口
-s -s 192.168.1.0/24 #来源地址
-d #目的地址
-p -p icmp --icmp-type #协议类型
--sport --sport 1000:3000 #来源的端口
--dport --dport 1000: :3000 #目的的端口1000:(1000端口以上) :3000(3000端口以下)
-s 192.168.0.1 -d www.sina.com -p tcp -dport
80
================================
iptables -A INPUT -j ACCEPT #允许所有访问本机IP的数据包通过
iptables -A FORWARD -s 192.168.0.1 -j DROP #阻止来源地址为192.168.80.39的数据包通过本机
-j DNAT #目的地址转换,DNAT支持转换为单IP,也支持转换到IP址
池
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.3:80
#把从ppp0进来的要访问tcp/80的数据包的地址改为192.168.0.3
-j SNAT #源地址转换
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
#将内网192.168.0.0/24的源地址改为1.1.1.1,用于nat表
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
#修改成为一个地址池
-j MASQUERADE #动态源地址转换
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#将源地址为192.168.0.0/24的数据包进行地址伪装
===================附加模块
state #按包状态匹配
mac #按来源mac匹配
limit #按包速率匹配
multiport #多端口匹配
--state
-m state #new,related,established,invalid
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#包状态 RELATED(衍生态),ESTABLISHED(连接态),NEW(有别于tcp的syn),INVALID(不被识别的)
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
#阻断来自某MAC地址的数据包通过本机
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
#用一定速率去匹配数据包
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
#一次匹配多个端口
=======================================实例分析===================================
单服务器的防护:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
制作网关:
echo "1"
>
/proc/sys/net/ipv4/ip_forward #启用路由转发
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
限制内网用户:filter-
>
forward
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -A FORWARD -d www.163.com -j DROP
内网做对外服务器:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to
192.168.1.2:80
========================================连接追踪模块=================================
主动模式(ACTIVE)
使用连接追踪模块(打开tcp/20,防火墙打开高范围端口,配置ftp,减小被动模式端口范围)
modprobe ip_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
被动模式(PASSIVE)
=============================网关策略=================================
echo "1"
>
/proc/sys/net/ipv4/ip_forward
echo "1"
>
/proc/sys/net/ipv4/tcp_syncookies
echo "1"
>
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_nat_ftp
堵:
iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD
DROP
==========================三大纪律五项注意=============================
3: filter nat mangle
5: prerouting,input,forward,output,
postrouting
==========================注意事项==============================
#养车好的习惯
iptables -vnL
iptables -t nat -vnL
iptables-save
#注意逻辑顺序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j
ACCEPT
==========================
FAQ
======================================
iptables -m 模块名 -h
/lib/modules/`uname -r`/kernel/net/ipv4/netfilter #模块存放的路径
modprobe ip_nat_ftp #加载模块
=========================实战======================================
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 j SNAT --to 202.106.0.254
iptables -t nat -A POSTROUTING -d 202.106.0.254 -p tcp --dport 80 -j DNAT --to 172.17.0.1
iptables -A FORWARD -i eth2 -p eth1 -m state --state NEW -j DROP
收藏
邀请
举报
全部
作者的其他最新日志
•
Mac/iPhone编程 积累 NSString详细介绍
•
2011年将赠送一系列视频教程
•
centos 使用Yum安装Asterisk
•
定制自己的 linux 安装光盘
•
无线上网方案的解决
评论 (
0
个评论)
涂鸦板
您需要登录后才可以评论
登录
|
注册
评论
daicheng
加为好友
给我留言
打个招呼
发送消息
热门文章
头条资讯
错过什么也不能错过你,我的美信串口收发器~
干货 | 常见的四类恒流源电路分析及应用
瑞萨电子荣获“2019 CITE创新奖”
几张图搞懂ARM9核心板咋选型
利用可采用电子方式重新配置的 GaN 功率放大器,彻底改变雷达设计
电源管理IC “BD71850MWV”
新增数据手册
LUCL8560AP
3544-231F000
TSW-148-19-G-D
FP-8989HR-11-2291-DB
ABM8-11.999MHZ-S-D1G-T3
RM332-059-111-2000
热搜器件
LM258APT
WSL0805R2000FEA18
A7BS207
RSF2WSJT-52-27K
MS3106B24-2PW
RC0100FR-0728KL
推荐下载
LM7805.pdf稳压电源芯片资料
南瑞的IEC104规约实现的源码
控制电机程序
dg6103r100
c8051源码(包括ADC、timer)
LM3S328_Microcontroller_DATA_SHEET
推荐关注
Profinet 通讯网关:解锁 Modbus TCP从站变身主站的密码
BEV感知技术:多相机数据采集与高精度时间同步方案
In depth analysis of alternative SN6507 products(替代SN6507)
《Linux内核深度解析》-文件系统简单介绍的学习
《Linux内核深度解析》-文件系统总体架构
《Linux内核深度解析》-系统调用学习
