iptables知识概况
2020-08-14 14:56:50 0 举报
iptables知识概况
作者其他创作
大纲/内容
nat
target
mangleINPUT
manglePREROUTING
mangle
natPREROUTING
SNAT
POSTROUTING
rawINPUT
RoutingDecision(路由决策)
Q: 将内网请求转到代理主机上,如将主机对80端口的访问全部跳转到192.168.0.254的3128端口上A: iptables -t nat -A OUTPUT -p tcp -dport 80 -j DNAT --to-destintion 192.168.0.254:3128
MASQUERADE
PREROUTING
流出数据包
拒绝数据包通过,必要时会给数据发送端一个相应的信息,客户端刚请求就会收到拒绝的信息
filterOUTPUT
Q: 允许来自网卡eth0的流量进入A: iptables -A FORWARD -i eth0 -j ACCEPTQ: 放行到192.168.0.110的3306端口流量,并对外告知端口为6789A: iptables -P FORWARD DROP iptables -A FOREARD -d 192.168.0.110 -p tcp --dport 3306 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -d 10.0.10.62 -p tcp --dport 6789 -j DNAT --to-destination 192.168.0.110:3306
filter
iptables网关服务器三块网卡:eth0(网通ip:10.0.0.1)、eth1(电信ip:20.0.0.1);eth2:网关192.168.10.1。Q: 公司内网要求192.168.10.1-100以内的ip使用10.0.0.1网关上网,其他ip使用20.0.0.1上网A: 路由 ip route add default gw 20.0.0.1 ip route add table 10 via 10.0.0.1 dev eth0 ip rule add fwmark 10 table 10 打标签 iptables -A PREROUTING -t mangle -i eth2 -s 192.168.10.1 - 192.168.10.100 -j MARK --set-mark 10
OUTPUT
Q: 阻止8092端口的连接传出A: iptables -A OUTPUT -p tcp --dport 8092 -j DROP
NETWORK
是SNAT的一种特殊形式,适用于动态的,临时会变的ip上
rawPREROUTING
ACCEPT
mangleFORWARD
Q: 可以使用 “NOTRACK” target 允许规则指定80端口的包不进入链接跟踪/NAT子系统A: iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK iptables -t raw -A PREROUTING -s 1.2.3.4 -p tcp --sport 80 -j NOTRACK iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
Q: 主机开放22端口A: iptables -A INPUT -p tcp–dport 22 -j ACCEPT
Q: 禁止访问主机的30001端口A: iptables -t mangle -A INPUT -p tcp --dport 30001 DROP
流入数据包
natINPUT
目标地址转换
源地址转换,解决内网用户用同一个公网地址上网的问题
raw
REDIRECT
natPOSTROUTING
natOUTPUT
在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配
出站
FORWARD
INPUT
rawOUTPUT
LOG
允许数据包通过
LocalProcess
filterINPUT
在本机做端口映射
入站
REJECT
manglePOSTROUTING
DROP
直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应
转发
DNAT
mangleOUTPUT
收藏
收藏
0 条评论
回复 删除
下一页