Linux中IPtables命令的使用方法-創(chuàng)新互聯(lián)

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿(mǎn)足客戶(hù)于互聯(lián)網(wǎng)時(shí)代的路北網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

Linux下IPtables命令圖解

Linux下IPtables命令剖析

1.命令：
-A 順序添加，添加一條新規(guī)則
-I 插入，插入一條新規(guī)則 -I 后面加一數(shù)字表示插入到哪行
-R 修改， 刪除一條新規(guī)則 -D 后面加一數(shù)字表示刪除哪行
-D 刪除，刪除一條新規(guī)則 -D 后面加一數(shù)字表示刪除哪行
-N  新建一個(gè)鏈
-X  刪除一個(gè)自定義鏈,刪除之前要保證次鏈?zhǔn)强盏?而且沒(méi)有被引用
-L 查看
@1.iptables -L -n 以數(shù)字的方式顯示
@2. iptables -L -v顯示詳細(xì)信息
@3. iptables -L -x 顯示精確信息
-E  重命名鏈
-F 清空鏈中的所有規(guī)則
-Z  清除鏈中使用的規(guī)則
-P 設(shè)置默認(rèn)規(guī)則
2.匹配條件：
隱含匹配：
-p  tcp udp icmp
--sport指定源端口
--dport指定目標(biāo)端
-s 源地址
-d 目的地址
-i 數(shù)據(jù)包進(jìn)入的網(wǎng)卡
-o 數(shù)據(jù)包出口的網(wǎng)卡
擴(kuò)展匹配：
-m state --state  匹配狀態(tài)的
-m mutiport --source-port  端口匹配 ,指定一組端口
-m limit --limit 3/minute  每三分種一次
-m limit --limit-burst  5  只匹配5個(gè)數(shù)據(jù)包
-m string --string --algo bm|kmp --string"xxxx"  匹配字符串
-mtime--timestart 8:00 --timestop 12:00  表示從哪個(gè)時(shí)間到哪個(gè)時(shí)間段
-mtime--days   表示那天
-m mac --mac-source xx:xx:xx:xx:xx:xx 匹配源MAC地址
-m layer7 --l7proto qq  表示匹配騰訊qq的 當(dāng)然也支持很多協(xié)議,這個(gè)默認(rèn)是沒(méi)有的,需要我們給內(nèi)核打補(bǔ)丁并重新編譯內(nèi)核及iptables才可以使用 -m layer7 這個(gè)顯示擴(kuò)展匹配
3.動(dòng)作：
-j
DROP 直接丟掉
ACCEPT 允許通過(guò)
REJECT 丟掉，但是回復(fù)信息
LOG --log-prefix"說(shuō)明信息,自己隨便定義" ，記錄日志
SNAT    源地址轉(zhuǎn)換
DNAT    目標(biāo)地址轉(zhuǎn)換
REDIRECT  重定向
MASQUERAED  地址偽裝
保存iptables規(guī)則
service iptables save
重啟服務(wù)
service iptables stop
service iptables start

Linux下IPtables企業(yè)案例解析

含義：
:INPUT ACCEPT [0:0]
該規(guī)則表示INPUT表默認(rèn)策略是ACCEP （[ 0:0 ]里記錄的就是通過(guò)該規(guī)則的數(shù)據(jù)包和字節(jié)總數(shù)。）
:FORWARD ACCEPT [0:0]
該規(guī)則表示FORWARD表默認(rèn)策略是ACCEPT
:OUTPUT ACCEPT [0:0]
該規(guī)則表示OUTPUT表默認(rèn)策略是ACCEPT

NEW 用戶(hù)發(fā)起一個(gè)全新的請(qǐng)求
ESTABLISHED 對(duì)一個(gè)全新的請(qǐng)求進(jìn)行回應(yīng)
RELATED 兩個(gè)完整連接之間的相互關(guān)系，一個(gè)完整的連接，需要依賴(lài)于另一個(gè)完整的連接。
INVALID 無(wú)法識(shí)別的狀態(tài)。

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
意思是允許進(jìn)入的數(shù)據(jù)包只能是剛剛我發(fā)出去的數(shù)據(jù)包的回應(yīng)

-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
意思就允許本地環(huán)回接口在INPUT表的所有數(shù)據(jù)通信，-i 參數(shù)是指定接口，接口是lo，lo就是Loopback（本地環(huán)回接口）

-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
這兩條的意思是在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規(guī)則的數(shù)據(jù)包。并且發(fā)送一條host prohibited的消息給被拒絕的主機(jī)。

下面來(lái)介紹一下，我添加的每個(gè)參數(shù)是什么意思，跟我沒(méi)講得允許22端口的一樣
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A 最后添加一條規(guī)則
-j 后面接動(dòng)作，主要的動(dòng)作有接受(ACCEPT)、丟棄(DROP)、拒絕(REJECT)及記錄(LOG)
–dport 限制目標(biāo)的端口號(hào)碼。
-p 協(xié)定：設(shè)定此規(guī)則適用于哪種封包格式 主要的封包格式有： tcp, udp, icmp 及 all 。
-m state –state 模糊匹配一個(gè)狀態(tài)，

IPtables企業(yè)案例規(guī)則實(shí)戰(zhàn)

WEB服務(wù)器,開(kāi)啟80端口；
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

郵件服務(wù)器,開(kāi)啟25,110端口；
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

FTP服務(wù)器,開(kāi)啟21端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT

DNS服務(wù)器,開(kāi)啟53端口
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

允許icmp包通過(guò),也就是允許ping,
iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設(shè)置成DROP的話(huà))
iptables -A INPUT -p icmp -j ACCEPT   (INPUT設(shè)置成DROP的話(huà))

將本機(jī)的8080端口轉(zhuǎn)發(fā)至其他主機(jī)，主機(jī)IP：192.168.1.162，目標(biāo)主機(jī)IP和端口：192.168.1.163:80，規(guī)則如下；
iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.1.162 --dport 8080 -j DNAT --to-destination 192.168.1.163:80

iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.162:8080
echo 1 > /proc/sys/net/ipv4/ip_forward
同時(shí)開(kāi)啟iptables forward轉(zhuǎn)發(fā)功能。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前文章：Linux中IPtables命令的使用方法-創(chuàng)新互聯(lián)
URL地址：http://muchs.cn/article44/cshshe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、App開(kāi)發(fā)、網(wǎng)站排名、網(wǎng)站收錄、虛擬主機(jī)、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)