IPtables :防火墙的配置
iptables -t filter -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
----------------------------------
DROP :拒绝
REJECT:拒绝(有回应)
ACCEPT:允许
LOG:日志 写在拒绝条目之前。
大小写 严格区分
iptables -t filter -A INPUT -s 192.168.0.1 -j ACCEPT
命令 表名称 链的名称 匹配规则 结果
缩写
iptables -A INPUT -s 192.168.0.1 -j ACCEPT // -A:Append 追加 -I:Insert 插入
filter表的名称可以省去,其他表必须写
如果没写肯定是filter表
iptables -D filter -A INPUT -s 192.168.0.1 -j ACCEPT //删除规则
查看已经存在的规则
iptables -L
iptables -t filter -L
iptables -nL // -n:number -L:List
iptables -nL --line-numbers
iptebles -I INPUT 3 -s 172.25.0.100 -p tcp --dport 22 -j ACCEPT
iptebles -nvL : -v:完整信息
! :反向选择
iptables -A INPUT '!' -s 192.168.0.1 -j REJECT :仅允许192.168.0.1访问
协议:
iptables -I INPUT -s 172.25.0.0/16 -p icmp --icmp-type 8 -j REJECT
拒绝别人ping本机 (8: 0:)
vim /etc/services :查看端口协议对应表
iptables -I INPUT -p tcp --dport ssh -j ACCEPT
ssh 读取的文件就是端口协议表文件
删除所有iptabls : iptables -F //清空所有规则
作业:
一、拒绝172.25.0.0/16的网络不允许访问SSH和WEB服务,仅允许172.25.0.250访问
自定义链:
iptables -X :删除自定义链
iptables -N RHCE :创建自定义链
iptables -A RHCE -s 0.0.0.0/0 -p -tcp --dport 22 -j REJECT
iptables -A INPUT -j RHCE // 自定义链可以作为执行结果再执行
-F:Flush 清空所有规则
-X:删除自定义链
-N:添加自定义链
-P:Policy 策略(修改默认规则)
iptables -P INPUT ACCEPT
service iptables save :规则写到文件中
systemctl restart iptables.service :
service iptables restart :
vim firewall.sh
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -A INPUT -j REJECT
iptables -I INPUT -s 172.25.0.0/16 -p tcp --dport 22 -j ACCEPT
/etc/rd.d/rc.local
/firewall/firewall.sh
防火墙链路状态:
EXTABLISHED:
RELATED:回应数据包状态
INBALID:
状态跟踪:
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
打开包转发功能:打开后就相当于路由器
sysctl -w net.ipv4.ip_forward=1
查看命令: sysctl -a |grep ip_for
iptables -t nat -A POSTROUTING [-s 172.25.0.0/16] -j SNAT --to-source 202.1.2.3
内网地址做NAT出去
iptables -t nat -A PRETOUTING -p tcp --dport 80 -j DNAT --to-dest 172.25.0.250
sysctl -w net.ipv4.ip_forward=1
---------------------------------------------------------------------