目錄

iptables包過濾與網絡地址轉換

Linux包過濾防火墻概述

iptables的基本語法

iptables的管理選項

iptables規則的匹配條件

常見的通用匹配條件

常用的隱含匹配條件（要寫通用匹配才能使用）

常用的顯示匹配條件

vsftpd

練習

NAT網絡地址轉換

數據保存（導出（備份）規則）

導入（還原）規則

iptables服務

---

iptables? 工具名稱：是用來控制內核的

內核包含了以下四種控制功能：（優先級從高到低排序）
raw表 ? ? ? ? ? ? 流量跟蹤?? ? ? ? ? ? ? PREROUTING?? OUTPUT（鏈：就是寫ACL的地方，一般鏈名要大寫）
mingle表??????? 流量整形?????????????? PREROUTING?? INPUT?? FORWORD?? OUTPUT?? POSTROUTING
nat表???????????? 網絡地址轉換??????? PREROUTING?? POSTROUTING?? OUTPUT
filter表?????????? 過濾????????????????????? INPUT?? FORWORD?? OUTPUT?

重點就是學filter表的INPUT鏈

iptables? -nvL??? (或者寫iptables? -t? filter? -nvL)
iptables? -t? nat? -nvL

iptables? -t? filter? -I? INPUT? -p? tcp? --dport? 5901? -j? ACCEPT（如果是DROP是丟棄）
iptables? -t? -I? POSTROUTING? -p? all? -s? 192.16.1.0/24? -o? eth1? -j? SNAT? --to-source? 10.0.105.99

filter表中用的最多的就是INPUT鏈和FORWORD鏈

INPUT鏈代表數據包訪問我的時候是否允許訪問

iptables包過濾與網絡地址轉換

Linux包過濾防火墻概述

netfilter
位于Linux內核中的包過濾功能體系
稱Linux防火墻的“內核態”

iptables
位于/sbin/iptables，用來管理防火墻規則的工具
稱為linux防火墻的“用戶態”

上述兩種稱呼都可以表示Linux防火墻

iptables的基本語法

INPUT后面跟一個數字，表示精確的將這條規則添加到某行

iptables? -I? INPUT? -p? icmp? -j? ACCEPT
iptables? -I? INPUT? -p? icmp? -j? REJECT
iptables? -I? INPUT? -p? icmp? -j? DROP? 丟棄

刪除規則（刪除的選項的-D）
iptables? -D? INPUT? 1（寫1就是刪除第一條規則）
iptables? -D? INPUT? 1（再寫一遍這個命令就是刪除第二條，刪完第一條，第二條就頂上去當第一條了）

KALI是不會開防火墻的

iptables的管理選項

我怎么知道規則有幾行？
iptables? -nvL? --line-numbers（顯示行號）

最好加選項的時候寫-nvL，否則看的太精簡，會有誤導

沒有REJECT

默認策略優先級最低

iptables規則的匹配條件

除了通用匹配其他都不能單獨用

常見的通用匹配條件

！是取反的意思

常用的隱含匹配條件（要寫通用匹配才能使用）

20:21?? 表示20端口到21端口

常用的顯示匹配條件

把-m理解為調用模塊

vsftpd

very security ftp非常安全的ftp（其實一點都不安全）

案例：

ftp???? 21端口是監聽，20端口是用來傳數據的，20端口屬于主動模式

1、裝一個ftp，在linux里面叫vsftpd
yum? install? vsftpd

2、vsftp默認的共享目錄在/var/ftp/pub/
cp? /etc/passwd? /etc/shadow? /var/ftp/pub/

3、啟動服務：? /etc/init.d/vsftpd? start

4、觀察端口ss -antpl | grep ftp

5、iptables? -I? INPUT? -p? tcp? --dport? 21? -j? ACCEPT

6、拿真實機win10來驗證一下

7、iptables -nvL

8、現在想把第二條規則刪了

iptables? -D? INPUT 2

打開win10再連接，連接后輸入dir

pasv是被動模式

9、解決：iptables? -I? INPUT? -p? tcp? --dport? 22? -j? ACCEPT

練習

NAT網絡地址轉換

數據保存（導出（備份）規則）

導入（還原）規則

iptables服務

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 44】iptables包过滤与网络地址转换的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。