当前位置:文档之家 › 2 小时玩转 iptables 企业版 v1_5_2

2 小时玩转 iptables 企业版 v1_5_2

  • 格式:pdf
  • 大小:326.08 KB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

iptables使用详解

iptables使用详解

ptables简介iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。

filter负责过滤数据包,包括的规则链有,input,output和forward;nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING;input匹配目的IP是本机的数据包,forward匹配流经本机的数据包,prerouting用来修改目的地址用来做DNAT,post routing用来修改源地址用来做SNAT。

iptables主要参数-A 向规则链中添加一条规则,默认被添加到末尾-T指定要操作的表,默认是filt er-D从规则链中删除规则,可以指定序号或者匹配的规则来删除-R进行规则替换-I插入一条规则,默认被插入到首部-F清空所选的链,重启后恢复-N新建用户自定义的规则链-X删除用户自定义的规则链-p用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,-s指定源地址-d指定目的地址-i进入接口-o流出接口-j采取的动作,accept,drop,snat,dnat,masquerade--sport源端口--dport目的端口,端口必须和协议一起来配合使用注意:所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写iptable配置实例iptable基本操作iptables -L 列出iptables规则iptables -F 清除iptables内置规则iptables -X 清除iptables自定义规则设定默认规则在iptables规则中没有匹配到规则则使用默认规则进行处理iptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD DROP配置SSH规则iptables -A INPUT -p t cp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 如果你把OUTPUT 设置成DROP,就需要加上这个规则,否则SSH还是不能登录,因为SSH服务职能进不能出。

iptables操作手册

iptables操作手册

1iptables与firewalld的关系RHEL7.0以后,使用firewalld服务取代了iptables服务,但是依然可以使用iptables服务,只是默认不开启了,iptables和firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具,是操作系统上的一种服务,将定义好的规则交给内核中的netfilter(网络过滤器)来读取,从而实现防火墙的功能,firewalld和iptables除了可以可以在inbond和outbond方向做策略限制以外,还能实现snat和dnat功能。

注意:firewalld和iptables同时只能运行一种服务,否则会出现不可预知的情况2iptables安装RHEL7.0以后,iptables默认不开启,需要安装iptables服务安装完成后3实验场景3.1源地址转换需求:源地址1(172.16.202.15)需要访问公网目的地址(192.168.111.245),源地址2(172.16.202.16)不需要访问公网。

内网两台服务器,分别为源地址1(172.16.202.15)和源地址2(172.16.202.16),公网出口处有一台centos 7.1的双网卡服务器,一个接口接内网(172.16.202.14),一个接口接外网(192.168.111.63)。

源地址1上首先需要保证和iptables服务器能够互通,并且有去往192.168.111.245的路由,路由下一跳需要指向iptables内网接口(172.16.202.14),由iptables服务器做源nat,把源地址(172.16.202.15)nat成公网接口地址(192.168.111.63),从而可以访问目的地址(192.168.111.245)。

一、首先在源地址1服务器上配置去往192.168.111.245的路由ip route add 192.168.111.245 via 172.16.202.14 //临时添加路由,重启网卡或者系统后,路由会丢失,建议做路由固化路由固化:在/etc/sysconfig/network-scripts目录下,新建一个route配置文件,vi route-eth0,新增一条路由,192.168.111.245/32 via 172.16.202.14,重启网卡即可生效二、iptables服务器上,配置snat策略iptables -t nat -A POSTROUTING -s 172.16.202.15/32 -d 192.168.111.245/32 -j SNAT --to 192.168.111.63注释:-t table table to manipulate (default: `filter') //这个选项指定命令要操作的匹配包的表。

Linux命令高级技巧使用iptables命令进行防火墙配置

Linux命令高级技巧使用iptables命令进行防火墙配置

Linux命令高级技巧使用iptables命令进行防火墙配置Linux系统中,iptables是一个非常常用的命令,用于配置Linux操作系统的防火墙规则。

掌握iptables的高级技巧,可以帮助我们更好地保护系统安全和网络通信。

本文将介绍使用iptables命令进行防火墙配置的一些高级技巧,以帮助读者更好地理解和运用这个强大的工具。

一、什么是iptables命令iptables是一个在Linux内核中实现的防火墙工具,用于管理网络通信规则。

它允许我们定义输入、输出和转发数据包的规则,从而控制网络流量。

使用iptables命令,我们可以过滤和转发数据包,以及进行网络地址转换和端口转发等操作。

二、iptables配置文件在开始使用iptables命令之前,了解iptables的配置文件将有助于更好地理解和调整防火墙规则。

iptables的配置文件位于"/etc/sysconfig/iptables"路径下,可以使用文本编辑器打开进行编辑。

三、基本的iptables规则1. 允许特定IP地址访问若想允许特定IP地址访问服务器的某个端口,可以使用如下命令:```iptables -A INPUT -p tcp -s IP地址 --dport 端口号 -j ACCEPT```例如,若要允许IP地址为192.168.1.100的主机访问SSH端口(22),可以使用以下命令:```iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT```2. 允许特定IP地址范围访问如果要允许一个IP地址范围访问特定端口,可以通过指定源IP范围来实现。

例如,要允许192.168.1.0/24子网段中的主机访问SSH端口,可以执行如下命令:```iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT```此规则将允许192.168.1.0/24网段中的所有主机访问SSH端口。

Linux命令高级技巧使用iptables配置防火墙规则

Linux命令高级技巧使用iptables配置防火墙规则

Linux命令高级技巧使用iptables配置防火墙规则iptables是Linux系统上一款用于配置网络防火墙的工具。

通过使用iptables,可以实现对传入和传出网络数据包的过滤和转发,以保护服务器和网络的安全。

本文将介绍一些使用iptables配置防火墙规则的高级技巧。

一、iptables概述iptables是Linux系统上的一个基于内核模块netfilter的防火墙软件。

通过对数据包进行过滤和转发,可以实现网络安全的保护。

其主要功能包括:过滤、NAT和转发。

二、iptables基本命令1. 查看当前iptables规则iptables -L2. 清除当前iptables规则iptables -F3. 允许来自指定IP的数据包通过iptables -A INPUT -s 192.168.1.100 -j ACCEPT4. 阻止来自指定IP的数据包通过iptables -A INPUT -s 192.168.1.100 -j DROP5. 允许某一特定端口的数据包通过iptables -A INPUT -p tcp --dport 80 -j ACCEPT6. 允许所有已建立的连接通过iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT7. 阻止所有其他数据包通过iptables -A INPUT -j DROP三、iptables高级技巧1. 使用iptables实现端口转发在实际应用中,经常需要将某一端口的访问请求转发到另一台服务器上。

通过iptables可以轻松实现该功能。

例如,将来自本地端口8080的访问请求转发到内网服务器192.168.1.100的80端口:iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:802. 使用iptables实现负载均衡通过使用iptables和SNAT,可以实现对多台服务器的负载均衡。

iptables的用法

iptables的用法

iptables的用法iptables是Linux系统中防火墙工具,用于配置、管理和过滤网络流量。

它可以用于设置各种规则,以控制网络传输,过滤入站和出站流量,并允许或拒绝特定的网络连接。

以下是iptables的常见用法:1. 查看当前的iptables规则:```iptables -L```2. 清除当前的iptables规则:```iptables -F```3. 允许特定IP地址的访问:```iptables -A INPUT -s <IP_ADDRESS> -j ACCEPT```4. 禁止特定IP地址的访问:```iptables -A INPUT -s <IP_ADDRESS> -j DROP```5. 允许特定端口的访问:```iptables -A INPUT -p tcp --dport <PORT_NUMBER> -j ACCEPT```6. 允许特定协议的访问:```iptables -A INPUT -p <PROTOCOL> -j ACCEPT```7. 配置端口转发:```iptables -t nat -A PREROUTING -p tcp --dport <SOURCE_PORT> -j DNAT --to-destination<DESTINATION_IP>:<DESTINATION_PORT>```8. 配置端口映射:```iptables -t nat -A POSTROUTING -p tcp -d <DESTINATION_IP> --dport<DESTINATION_PORT> -j SNAT --to-source <SOURCE_IP>```以上只是iptables的一些常见用法,它还提供了更多高级功能和选项,可以根据具体需求进行配置和使用。

Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置

Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置

Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置Linux命令高级技巧:使用iptables和ufw命令进行网络防火墙配置在Linux操作系统中,网络防火墙是保护系统网络安全的重要组成部分。

通过合理配置网络防火墙规则,可以控制网络流量的进出,阻挡恶意攻击和未经授权的访问,确保系统的安全性。

本文将介绍Linux 中的两个重要命令iptables和ufw,以及使用它们进行网络防火墙配置的高级技巧。

一、iptables命令iptables是Linux中主要的防火墙工具,可以在内核级别对进出的网络流量进行过滤、转发和NAT(Network Address Translation)等操作。

下面是一些常用的iptables命令及其用法:1. 启用IP转发功能在做网络防火墙配置之前,需要确保系统开启了IP转发功能。

可以使用以下命令启用:```shellsysctl -w net.ipv4.ip_forward=1```此命令将系统的`net.ipv4.ip_forward`参数设置为1,即开启IP转发功能。

2. 基本规则设置使用以下命令创建一条基本的防火墙规则,允许本地主机的所有传入和传出流量:```shelliptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT```这些命令将INPUT、OUTPUT和FORWARD链的默认策略都设置为ACCEPT,即允许全部流量。

3. 添加规则可以使用iptables命令添加特定的防火墙规则,以允许或拒绝特定的流量。

例如,以下命令将允许来自192.168.1.100的主机的SSH连接:```shelliptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT```此命令将在INPUT链中添加一条规则,允许源IP为192.168.1.100,目标端口为22的TCP连接。

iptables 详细教程

iptables四个表五条链其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个表和链所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些表和链的实质性的配置例子。

一、netfilter和iptables说明:1、 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。

这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。

在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。

(1). netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

(2). iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表,5个链。

其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。

2、4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filt er表)。

表的处理优先级:raw>mangle>nat>filter。

filter:一般的过滤功能nat:用于nat功能(端口映射,地址映射等)mangle:用于对特定数据包的修改raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能RAW 表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。

Linux命令高级技巧使用iptables命令配置防火墙

Linux命令高级技巧使用iptables命令配置防火墙Linux命令高级技巧:使用iptables命令配置防火墙防火墙是保护计算机网络安全的重要工具。

在Linux系统中,iptables是一款强大的防火墙管理工具,可以通过配置规则,限制网络访问和数据传输,提高系统的安全性。

本文将介绍如何使用iptables命令进行高级配置和技巧应用。

一、iptables命令简介iptables是Linux系统中的一个工具集,用于配置ipv4数据包的过滤,转发和网络地址转换(NAT)。

通过iptables命令,可以设置规则来控制数据包的流动,实现防火墙的功能。

iptables命令的主要参数包括:- A: 添加规则- D: 删除规则- I: 插入规则- L: 列出规则- F: 清空规则- P: 设置默认策略- S: 保存规则- R: 替换规则- N: 新建自定义链二、iptables配置基础1. 清空规则链在配置iptables之前,可以使用以下命令清空所有规则链,以确保开始时处于一个干净的状态:```shelliptables -Fiptables -Xiptables -Ziptables -t nat -F```2. 设置默认策略默认情况下,iptables会根据规则链上的规则来对数据包进行过滤,如果没有匹配到任何规则,则会根据默认策略来处理。

可以使用以下命令设置默认策略:```shelliptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT```3. 添加规则可以使用以下命令添加规则到指定的规则链,例如,添加允许SSH 访问的规则:```shelliptables -A INPUT -p tcp --dport 22 -j ACCEPT```4. 保存规则配置完iptables后,可以使用以下命令将规则保存到文件中,以便重启后自动加载:```shelliptables-save > /etc/iptables/rules.v4```三、高级配置和技巧1. 自定义链iptables支持用户自定义链,可以将一组规则封装到一个新链中,提高规则的可读性和管理性。

Linux命令高级技巧使用iptables进行网络流量控制

Linux命令高级技巧使用iptables进行网络流量控制在Linux操作系统中,iptables是一种强大的工具,用于管理网络流量以及进行网络流量控制。

使用iptables可以实现各种复杂的网络配置和管理任务,如防火墙设置、端口转发、网络地址转换(NAT)等。

本文将介绍一些使用iptables进行网络流量控制的高级技巧。

一、iptables简介iptables是一个内核模块,它是基于Netfilter框架的用户空间工具集,用于管理Linux内核中的数据包过滤规则。

iptables通过匹配数据包的源、目的地址、端口等关键字段,来决定对数据包的处理方式,可以允许、拒绝、重定向或修改数据包。

二、iptables基本用法在开始讲解高级技巧之前,我们先给出一些iptables的基本用法,以便更好地理解后续的内容。

1. 添加规则使用iptables命令添加规则的语法如下:```shelliptables -A <CHAIN> <MATCH_CONDITION> -j <ACTION>```其中,`<CHAIN>`表示规则链,如INPUT、FORWARD、OUTPUT 等;`<MATCH_CONDITION>`表示匹配条件,如源地址、目的地址、端口等;`<ACTION>`表示对匹配的数据包的处理方式,如ACCEPT、DROP、REJECT等。

例如,要允许来自192.168.1.100的主机访问本地的SSH服务(端口22),可以使用以下命令添加规则:```shelliptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT```2. 查看规则使用iptables命令查看规则的语法如下:```shelliptables -L```这会列出iptables中的所有规则,包括链的名称、规则的编号以及匹配条件和动作等信息。

Linux命令技巧使用iptables进行高级网络防火墙配置

Linux命令技巧使用iptables进行高级网络防火墙配置使用iptables进行高级网络防火墙配置在Linux系统中,iptables是一个非常强大的工具,它可以用于配置和管理网络防火墙。

通过使用iptables,我们可以实现高级的网络防火墙配置,以保护我们的计算机和网络资源免受潜在的安全威胁。

本文将介绍一些常用的Linux命令技巧,以帮助你更好地使用iptables进行高级网络防火墙配置。

1. 检查当前iptables规则使用以下命令可以查看当前的iptables规则:```shelliptables -L```该命令将显示当前生效的iptables规则列表,包括输入、输出和转发规则。

通过查看这些规则,可以了解当前系统的网络访问策略。

2. 添加规则可以使用以下命令添加iptables规则:```shelliptables -A <chain> <rule>```其中,`<chain>`表示规则要添加到的链,可以是输入链(INPUT)、输出链(OUTPUT)或转发链(FORWARD)等。

`<rule>`表示要添加的规则内容。

例如,如果要允许来自特定IP地址的HTTP访问,可以使用以下命令:```shelliptables -A INPUT -s <IP地址> -p tcp --dport 80 -j ACCEPT```该命令将添加一个在输入链中生效的规则,允许源IP地址为`<IP地址>`,目标端口为80的TCP连接。

3. 删除规则如果需要删除已添加的规则,可以使用以下命令:```shelliptables -D <chain> <rule_number>```其中,`<chain>`表示规则所在的链,`<rule_number>`表示规则在该链中的序号。

例如,如果要删除输入链中的第一条规则,可以使用以下命令:```shelliptables -D INPUT 1```该命令将删除输入链中的第一条规则。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3.5 附加模块
2.2 链和表
£
表 filter: nat: 顾名思义,用于过滤的时候 顾名思义,用于做 NAT 的时候 NAT:Network Address Translator filter 表,匹配目的 IP 是本机的数据包 filter 表,匹配穿过本机的数据包, nat 表,用于修改目的地址(DNAT) nat 表,用于修改源地址 (SNAT)
注意: 1、--sport、--dport 必须联合 -p 使用,必须指明协议类型是什么 2、条件写的越多,匹配越细致,匹配范围越小
3.4 动作(处理方式)
ACCEPT £ DROP £ SNAT £ DNAT £ MASQUERADE
£
3.4.1 -j ACCEPT
-j ACCEPT 通过,允许数据包通过本链而不拦截它 类似 Cisco 中 ACL 里面的 permit 例如: iptables -A INPUT -j ACCEPT 允许所有访问本机 IP 的数据包通过
3.3.2 按来源目的地址匹配
-s <匹配来源地址> 可以是 IP、NET、DOMAIN,也可空(任何地址) 例如: -s 192.168.0.1 匹配来自 192.168.0.1 的数据包 -s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包 -s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包 -d <匹配目的地址> 可以是 IP、NET、DOMAIN,也可以空 例如: -d 202.106.0.20 匹配去往 202.106.0.20 的数据包 -d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包 匹配去往域名 的数据包 -d
3.2.6 -[vxn]L
-L [链名] LIST,列出规则 v:显示详细信息,包括每条规则的匹配包数量和匹配字节数 x:在 v 的基础上,禁止自动单位换算(K、M) n:只显示 IP 地址和端口号码,不显示域名和服务名称 例如: iptables -L 粗略列出 filter 表所有链及所有规则 iptables -t nat -vnL 用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号 iptables -t nat -vxnL PREROUTING 用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字,不反解
3.3 匹配条件
£
流入、流出接口(-i、-o) £ 来源、目的地址(-s、-d) £ 协议类型 (-p) £ 来源、目的端口(--sport、--dport)
3.3.1 按网络接口匹配
-i <匹配数据进入的网络接口> 例如: -i eth0 匹配是否从网络接口 eth0 进来 -i ppp0 匹配是否从网络接口 ppp0 进来 -o 匹配数据流出.2.3 -R
-R <链名> <规则号码> <具体规则内容> REPLACE,替换一条规则 例如: iptables -R INPUT 3 -j ACCEPT 将原来编号为 3 的规则内容替换为“-j ACCEPT” 注意: 确保规则号码 ≤ 已有规则数,否则报错
3.2.4 -P
-P <链名> <动作> POLICY,设置某个链的默认规则 例如: iptables -P INPUT DROP 设置 filter 表 INPUT 链的默认规则是 DROP 注意:
3.3.5 匹配应用举例
1、端口匹配 -p udp --dport 53 匹配网络中目的地址是 53 的 UDP 协议数据包 2、地址匹配 -s 10.1.0.0/24 -d 172.17.0.0/16 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包 3、端口和地址联合匹配 -s 192.168.0.1 -d -p tcp --dport 80 匹配来自 192.168.0.1,去往 的 80 端口的 TCP 协议数据包
£
3.2.1 -A
-A <链名> APPEND,追加一条规则(放到最后) 例如: iptables -t filter -A INPUT -j DROP 在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则) 匹配所有访问本机 IP 的数据包,匹配到的丢弃
3.2.2 -I
-I <链名> [规则号码] INSERT,插入一条规则 例如: iptables -I INPUT -j DROP 在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条) iptables -I INPUT 3 -j DROP 在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条) 注意: 1、-t filter 可不写,不写则自动默认是 filter 表 2、-I 链名 [规则号码],如果不写规则号码,则默认是 1 3、确保规则号码 ≤ (已有规则数 + 1),否则报错
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 链) 目的地址转换,DNAT 支持转换为单 IP,也支持转换到 IP 地址池 (一组连续的 IP 地址) 例如: iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to 192.168.0.1 把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1 iptables -t -j DNAT iptables -t -j DNAT nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ --to 192.168.0.2:80 nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ --to 192.168.0.1-192.168.0.10
£
链 INPUT: 位于 FORWARD: 位于 PREROUTING: 位于 POSTROUTING:位于
3.1 iptables 语法概述
£
iptables [-t 要操作的表] <操作命令> [要操作的链] [规则号码] [匹配条件] [-j 匹配到以后的动作]
3.2 命令概述
操作命令(-A、-I、-D、-R、-P、-F) £ 查看命令(-[vnx]L)
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 链) 源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池 (一组连续的 IP 地址) 例如: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ -j SNAT --to 1.1.1.1 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ -j SNAT --to 1.1.1.1-1.1.1.10 同上,只不过修改成一个地址池里的 IP
3.4.2 -j DROP
-j DROP 丢弃,阻止数据包通过本链而丢弃它 类似 Cisco 中 ACL 里的 deny 例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP 阻止来源地址为 192.168.80.39 的数据包通过本机
3.4.4 -j DNAT
3.4.5 -j MASQUERADE
-j MASQUERADE 动态源地址转换(动态 IP 的情况下使用) 例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 将源地址是 192.168.0.0/24 的数据包进行地址伪装
ChinaUnix 讲座
2 小时玩转 iptables 企业版 cu.platinum@ 2006.03.18
最后修改时间:2006.07.23 最后修改时间:2006.07.23 文档维护者:白金(platinum)、陈绪(bjchenxu) 文档维护者:白金(platinum)、陈绪(bjchenxu)
--dport <匹配目的端口> 可以是个别端口,可以是端口范围 例如: --dport 80 匹配源端口是 80 的数据包 --dport 6000:8000 匹配源端口是 6000-8000 的数据包(含6000、8000) --dport :3000 匹配源端口是 3000 以下的数据包(含 3000) --dport 1000: 匹配源端口是 1000 以上的数据包(含 1000) 注意:--sport 和 --dport 必须配合 -p 参数使用
v1.5.2
主题大纲
1. 2. 3. 4. 5. 6. 7. 概述 框架图 语法 实例分析 网管策略 使用总则、FAQ 实战
1. 概述
2.4.x、2.6.x 内核 netfilter/iptables
2.1 框架图
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | filter | nat | | | | v | INPUT OUTPUT | mangle ^ mangle | filter | nat v ------>local------->| filter
当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理。 动作前面不能加 –j,这也是唯一一种匹配动作前面不加 –j 的情况。
3.2.5 -F