LINUX下的iptables

我给大家讲一下iptables
iptables有三种链
1：INPUT (进来的链)
2：OUTPUT(出去的链)
3：FORWARD(转发的链)
iptables -A INPUT -p icmp -j DROP

-A(添加一个链) -p 协议 -j(添加动作) 说明添加一个进来的链.协议是icmp动作
拒绝.

iptables -L -n (用树形结构来看一下iptables的设置)

iptables -F (清空iptables的设置) 后面也可以加上INPUT 或者是OUTPUT

iptables --help | more (察看iptables的帮助)

iptables -L -n --line-numbres(察看iptables规则的编号)

iptables -A INPUT -p tcp -d 192.168.0.123 --dport 21 -j DROP
这句话是拒绝到本机的21端口.可以分析到目的地址是本机的192.168.0.123
目的端口是本机的21的端口 -d(目的地址) --dport(目的端口).

下面我们来做一个实验来讲一下具体的配置.

例：假如我们服务器想配置一个WEB服务器.我们为了日后的维护.还要把SSHD打开

1：把所有规则DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
P为大写

2 iptables -A INPUT -p tcp -d 192.168.0.123 --dport 22 -j ACCEPT
想要别人连我们的22 目的地址为本机的192.168.0.123 目的端口 22

3 iptables -A OUTPUT -p tcp -s 192.168.0.123 --sport 22 -j ACCEPT
我们还要给返回数据包那么源地址是本机的192.168.0.123 源端口22

4 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
外面通过INPUT链来访问本机的80端口,本机是目的地址 放开本机的IP和80端口

5 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
本机还要返回数据包 ,通过OUTPUT链出去.源地址为本机 源端口为本机的80

6 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
还要把DNS放开,不然在DNS解析的时候会出现超时.做为客户端我们OUTPUT链出去
目的端口为udp的53 这里能解析服务器了.

7 iptables -A INPUT -p udp --sport 53 -j ACCEPT

对方接到包的时候返回包的时候INPUT的链进来 源地址端口为UDP 53

8 如果本机既是客户机又是服务器的时候.要加上
iptables -A INPUT -p udp --dport 53 -j ACCEPT
做为服务器能够解析INPUT进来的包 目的地址为53
iptables -A OUTPUT -P udp --sport 53 -j ACCEPT
做为服务器OUTPUT出去的包要经过源地址的 udp 53 端口

9 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
这样做可以让本机的回环设备可以使用

10 iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j
ACCEPT

为了安全我们在OUTPUT链中设置为只有连过的包我们还通过.
-m(添加)与本机22端口 匹配的条件的出去

我们把iptables -A OUTPUT -p tcp -s 192.168.0.123 --sport 22 -j ACCEPT
这个不安全的包删除掉.
iptables -D OUTPUT 1

11 iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT

同样把iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT 删除掉
iptables -D OUTPUT 2

12 如果做为22的客户端

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -P tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

13 service iptables save(保存设置)

----------------------------------------------------------------------

我们想要局域网上网
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (局域网去访问互联网)
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT (互联网访问局域网)
还要把/proc/sys/net/ipv4/ip_forward的值改为1
也可以编辑一下/etc/sysctl.conf配置文件,在ipv4这一行把0改成1

SNAT :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-soure 192.168.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!