最全的iptables防火墻詳解

iptables /

iptables /

iippttaabblleess官方網(wǎng)站：hhttttpp::nneettffiilltteerr..oorrgg//

? 數(shù)據(jù)包經(jīng)過防火墻的路徑

? 禁止端口

? 強(qiáng)制訪問某站點(diǎn)

? 發(fā)布內(nèi)部網(wǎng)絡(luò)服務(wù)器

? 智能DNS

? 端口映射

? 通過NAT上網(wǎng)

? IP 規(guī)則的保存與恢復(fù)

? iptables指令語法

? iptables實(shí)例

數(shù)據(jù)包經(jīng)過防火墻的路徑

圖1比較完整地展示了一個數(shù)據(jù)包是如何經(jīng)過防火墻的，考慮到節(jié)省空間，該圖實(shí)際上包了三種

情況：

來自外部，以防火墻(本機(jī))為目的地的包，在圖1中自上至下走左邊一條路徑。

由防火墻(本機(jī))產(chǎn)生的包，在圖1中從“本地進(jìn)程”開始，自上至下走左邊一條路徑

來自外部，目的地是其它主機(jī)的包，在圖1中自上至下走右邊一條路徑。

圖1

如果我們從上圖中略去比較少用的mangle 表的圖示,就有圖2所顯示的更為清晰的路徑圖.

圖2

禁止端口的實(shí)例

ssh

ssh

禁止sssshh端口

只允許在上使用ssh遠(yuǎn)程登錄，從其它計(jì)算機(jī)上禁止使用ssh

#iptables-A INPUT -s-p tcp--dport22-j ACCEPT

#iptables-A INPUT -ptcp--dport22-jDROP

禁止代理端口

#iptables-A INPUT -ptcp--dport3128-j REJECT

icmp

icmp

禁止iiccmmpp端口

除外，禁止其它人ping我的主機(jī)

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type echo-request-j ACCEPT

#iptables-A INPUT -i eth0-picmp --icmp-typeecho-request –j ?DROP

或

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type 8-jACCEPT

#iptables-A INPUT -i eth0-picmp -m icmp--icmp-type 8-j DROP

注：可以用iptables--protocolicmp--help 查看ICMP 類型

還有沒有其它辦法實(shí)現(xiàn)?

QQ

QQ

禁止QQQQ端口

#iptables-D FORWARD-pudp--dport8000-j REJECT

強(qiáng)制訪問指定的站點(diǎn)

圖3

要使/24網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)(這此計(jì)算機(jī)的網(wǎng)關(guān)應(yīng)設(shè)為0)強(qiáng)制訪問指定的站

點(diǎn),在做為防火墻的計(jì)算機(jī)(0)上應(yīng)添加以下規(guī)則:

1. 打開ip包轉(zhuǎn)發(fā)功能

echo1> /proc/sys/net/ipv4/ip_forward

2. 在NAT/防火墻計(jì)算機(jī)上的NAT表中添加目的地址轉(zhuǎn)換規(guī)則:

iptables-t nat-IPREROUTING -i eth0-ptcp--dport80-j DNAT --to-destination30:80

iptables-t nat-IPREROUTING -i eth0-pudp--dport80-j DNAT--to-destination30:80

3. 在NAT/防火墻計(jì)算機(jī)上的NAT表中添加源地址轉(zhuǎn)換規(guī)則:

iptables-t nat-IPOSTROUTING-o eth1-ptcp--dport80-s /24-j SNAT --to-source

0:20000-30000

iptables-t nat-IPOSTROUTING-o eth1-pudp--dport80-s/24-jSNAT --to-source

0:20000-30000

4. 測試:在內(nèi)部網(wǎng)的任一臺計(jì)算機(jī)上打開瀏覽器,輸入任一非本網(wǎng)絡(luò)的IP,都將指向IP 為

30的網(wǎng)站.

發(fā)布內(nèi)部網(wǎng)絡(luò)服務(wù)器

圖4

要使因特網(wǎng)上的計(jì)算機(jī)訪問到內(nèi)部網(wǎng)的FTP 服務(wù)器、WEB 服務(wù)器,在做為防火墻的計(jì)算機(jī)上應(yīng)

添加以下規(guī)則:

1.echo1>/proc/sys/net/ipv4/ip_forward

2. 發(fā)布內(nèi)部網(wǎng)web服務(wù)器

iptables-t nat-IPREROUTING -ptcp-i eth1-s/24--dport80-jDNAT --to-destination

5:80

iptables-t nat-IPOSTROUTING-p

總結(jié)

以上是生活随笔為你收集整理的iptable 详解_最全的iptables防火墙详解.pdf的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。