iptables防火墻-創(chuàng)新互聯(lián)

iptables防火墻

linux中防火墻分三張表，分別是filter，nat，mangle。filter表是用來做基于IP地址過濾的，nat表是用來進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，mangle表是用來給某些應(yīng)用程序（http和https）打標(biāo)記。

創(chuàng)新互聯(lián)專注于貴南網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠為您提供貴南營銷型網(wǎng)站建設(shè)，貴南網(wǎng)站制作、貴南網(wǎng)頁設(shè)計(jì)、貴南網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務(wù)，打造貴南網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供貴南網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

filter表分為INPUT鏈，OUTPUT鏈，F(xiàn)ORWARD鏈。INPUT鏈?zhǔn)侵改繕?biāo)地址是自己，OUTPUT鏈?zhǔn)侵冈吹刂肥亲约?，F(xiàn)ORWARD鏈只是提供轉(zhuǎn)發(fā)功能（在linux內(nèi)核中需打開轉(zhuǎn)發(fā)功能）。

nat表分為POSTROUTING鏈，PREROUTING鏈，POSTROUTING鏈?zhǔn)侵赶嚷酚扇缓笤貼AT，PREROUTING鏈?zhǔn)侵赶萅AT然后再路由。

mangle表是用來給相應(yīng)協(xié)議打標(biāo)記用的。分為POSTROUTING鏈，PREROUTING鏈。

實(shí)例：

一包過濾型防火墻

1.設(shè)置防火墻的默認(rèn)規(guī)則

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

2.iptables的分層設(shè)計(jì)

iptables -N NET1 為防火墻新建一條鏈，鏈名NET1。

iptables -A INPUT -s 192.168.1.0/24 -j NET1 跳轉(zhuǎn)到NET1鏈.

iptables -A NET1 -s 192.168.1.254 -j DROP 設(shè)置更詳細(xì)的規(guī)則。

3. 刪除一個鏈

iptables -D INPUT 刪除INPUT鏈（與NET1鏈有關(guān)）

iptables -X NET1 刪除NET1鏈

iptables -F NET1 清空鏈規(guī)則

-F是清空指定某個 chains 內(nèi)所有的 rule 設(shè)定。比方 iptables -F -t filter，那就是把 filter table 內(nèi)所有的INPUT/OUTPUT/FORWARD chain 設(shè)定的規(guī)則都清空。

-X是刪除使用者自訂 table 項(xiàng)目，一般使用 iptables -N xxx 新增自訂 chain 后，可以使用 iptables -X xxx 刪除之。

-D是刪除某個鏈。

二狀態(tài)檢測型防火墻
NEW 新建連接
ESTABLISH 連接已經(jīng)建立

RELATED 由某個連接派生的子連接（如ftp派生的子連接）

iptables -A INPUT -m state --state RELATED,ESTABLISH -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT (25端口允許)

iptables -A INPUT -m state --state NEW -j DROP 其他端口都拒絕。

三基于應(yīng)用代理防火墻

在Linux 上，可以用iptables 直接將對Web 端口80 的請求直接轉(zhuǎn)發(fā)到Squid 端口3128，由Squid 接手，而用戶瀏覽器仍然認(rèn)為它訪問的是對方的80端口。例如以下這條命令：

iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp --dport 80 -j REDIRECT --to-ports 3128

所有設(shè)置完成后，關(guān)鍵且重要的任務(wù)是訪問控制。Squid 支持的管理方式很多，使用起來也非常簡單（這也是有人寧愿使用不做任何緩存的 Squid，也不愿意單獨(dú)使用iptables 的原因）。

四 NAT地址轉(zhuǎn)換

iptables -t nat -A POSTROUTING -s 1922.168.1.0/24 -o eth2 -j SNAT --to-source 1.1.1.1

iptables -t nat -A PREROUTING -d 2.2.2.2 -p tcp --dport 80 -i eth2 -j DNAT --to-destination 192.168.0.1:80

iptables -t nat -A POSTROUTING -s 1922.168.1.0/24 -o eth2 -j MASQUERADE(用于IP地址不固定)

iptables -F -t nat 清空nat表的規(guī)則

五保存iptables規(guī)則

service iptables save

規(guī)則保存在/etc/sysconfig/iptables

注意：如果把/etc/sysconfig/iptables文件進(jìn)行分發(fā)之后，每臺系統(tǒng)都要執(zhí)行/sbin/service iptables restart命令來使規(guī)則生效。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

標(biāo)題名稱：iptables防火墻-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于：http://muchs.cn/article30/dchiso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營銷型網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站收錄、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)、全網(wǎng)營銷推廣

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容