linux中iptables配置文件及命令详解详解
iptables配置文件web
直接改iptables配置就能够了:vim /etc/sysconfig/iptables。vim
一、关闭全部的 INPUT FORWARD OUTPUT 只对某些端口开放。windows
下面是命令实现:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否设置好, 好看到所有 DROP 了
这样的设置好了,咱们只是临时的, 重启服务器仍是会恢复原来没有设置的状态
还要使用 service iptables save 进行保存
看到信息 firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables
能够打开文件查看 vi /etc/sysconfig/iptables
二、
下面我只打开22端口,看我是如何操做的,就是下面2个语句(一下为命令行模式)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再查看下 iptables -L -n 是否添加上去, 看到添加了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
如今Linux服务器只打开了22端口,用putty.exe测试一下是否能够连接上去。
能够连接上去了,说明没有问题。
最后别忘记了保存 对防火墙的设置
经过命令:service iptables save 进行保存
重启iptables
service iptables save && service iptables restart
关闭防火墙
chkconfig iptables off && service iptables stop
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
针对这2条命令进行一些讲解吧
-A 参数就当作是添加一条 INPUT 的规则
-p 指定是什么协议 咱们经常使用的tcp 协议,固然也有udp 例如53端口的DNS
到时咱们要配置DNS用到53端口 你们就会发现使用udp协议的
而 --dport 就是目标端口 当数据从外部进入服务器为目标端口
反之 数据从服务器出去 则为数据源端口 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
三、禁止某个IP访问
1台Linux服务器,2台windows xp 操做系统进行访问
Linux服务器ip 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8
下面看看我2台xp 均可以访问的
192.168.1.2 这是 xp1 能够访问的,
192.168.1.8 xp2 也是能够正常访问的。
那么如今我要禁止 192.168.1.2 xp1 访问, xp2 正常访问,
下面看看演示
经过命令 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
这里意思就是 -A 就是添加新的规则, 怎样的规则呢? 因为咱们访问网站使用tcp的,
咱们就用 -p tcp , 若是是 udp 就写udp,这里就用tcp了, -s就是 来源的意思,
ip来源于 192.168.1.2 ,-j 怎么作 咱们拒绝它 这里应该是 DROP
好,看看效果。好添加成功。下面进行验证 一下是否生效
一直出现等待状态 最后 该页没法显示 ,这是 192.168.1.2 xp1 的访问被拒绝了。
再看看另一台 xp 是否能够访问, 是能够正常访问的 192.168.1.8 是能够正常访问的
四、如何删除规则
首先咱们要知道 这条规则的编号,每条规则都有一个编号
经过 iptables -L -n --line-number 能够显示规则和相对应的编号
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 这一列, 这样咱们就能够 看到刚才的规则对应的是 编号2
那么咱们就能够进行删除了
iptables -D INPUT 2
删除INPUT链编号为2的规则。
再 iptables -L -n 查看一下 已经被清除了。
五、过滤无效的数据包
假设有人进入了服务器,或者有病毒木马程序,它能够经过22,80端口像服务器外传送数据。
它的这种方式就和咱们正常访问22,80端口区别。它发向外发的数据不是咱们经过访问网页请求
而回应的数据包。
下面咱们要禁止这些没有经过请求回应的数据包,通通把它们堵住掉。
iptables 提供了一个参数 是检查状态的,下面咱们来配置下 22 和 80 端口,防止无效的数据包。
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
能够看到和咱们之前使用的:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一个状态判断。
一样80端口也同样, 如今删掉原来的2条规则,
iptables -L -n --line-number 这个是查看规则并且带上编号。咱们看到编号就能够
删除对应的规则了。
iptables -D OUTPUT 1 这里的1表示第一条规则。
当你删除了前面的规则, 编号也会随之改变。看到了吧。
好,咱们删除了前面2个规则,22端口还能够正常使用,说明没问题了
下面进行保存,别忘记了,否则的话重启就会还原到原来的样子。
service iptables save 进行保存。
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
其实就是把刚才设置的规则写入到 /etc/sysconfig/iptables 文件中。
六、DNS端口53设置
下面咱们来看看如何设置iptables来打开DNS端口,DNS端口对应的是53
你们看到我如今的状况了吧,只开放22和80端口, 我如今看看能不能解析域名。
host www.google.com 输入这个命令后,一直等待,说明DNS不通
出现下面提示 :
;; connection timed out; no servers could be reached
ping 一下域名也是不通
[root@localhost ~ping www.google.com
ping: unknown host www.google.com
我这里的缘由就是 iptables 限制了53端口。
有些服务器,特别是Web服务器减慢,DNS其实也有关系的,没法发送包到DNS服务器致使的。
下面演示下如何使用 iptables 来设置DNS 53这个端口,若是你不知道 域名服务端口号,你
能够用命令 : grep domain /etc/services
[root@localhost ~grep domain /etc/services
domain 53/tcp # name-domain server
domain 53/udp
domaintime 9909/tcp # domaintime
domaintime 9909/udp # domaintime
看到了吧, 咱们通常使用 udp 协议。
好了, 开始设置。。。
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
这是咱们 ping 一个域名,数据就是从本机出去,因此咱们先设置 OUTPUT,
咱们按照ping这个流程来设置。
而后 DNS 服务器收到咱们发出去的包,就回应一个回来
iptables -A INPUT -p udp --sport 53 -j ACCEPT
同时还要设置
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
好了, 下面开始测试下, 能够用 iptables -L -n 查看设置状况,肯定没有问题就能够测试了
[root@localhost ~iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
能够测试一下 是否 DNS 能够经过iptables 了。
[root@localhost ~host www.google.com
www.google.com is an alias for www.l.google.com.
www.l.google.com is an alias for www-china.l.google.com.
www-china.l.google.com has address 64.233.189.104
www-china.l.google.com has address 64.233.189.147
www-china.l.google.com has address 64.233.189.99
正常能够解析 google 域名。
ping 方面可能还要设置些东西。
用 nslookup 看看吧
[root@localhost ~nslookup
> www.google.com
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
www.google.com canonical name = www.l.google.com.
www.l.google.com canonical name = www-china.l.google.com.
Name: www-china.l.google.com
Address: 64.233.189.147
Name: www-china.l.google.com
Address: 64.233.189.99
Name: www-china.l.google.com
Address: 64.233.189.104
说明本机DNS正常, iptables 容许53这个端口的访问。
七、iptables对ftp的设置
如今我开始对ftp端口的设置,按照咱们之前的视频,添加须要开放的端口
ftp链接端口有2个 21 和 20 端口,我如今添加对应的规则。
[root@localhost rootiptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost rootiptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
好,这样就添加完了,咱们用浏览器访问一下ftp,出现超时。
因此我刚才说 ftp 是比较特殊的端口,它还有一些端口是 数据传输端口,
例如目录列表, 上传 ,下载 文件都要用到这些端口。
而这些端口是 任意 端口。。。 这个 任意 真的比较特殊。
若是不指定什么一个端口范围, iptables 很难对任意端口开放的,
若是iptables容许任意端口访问, 那和不设置防火墙没什么区别,因此不现实的。
那么咱们的解决办法就是 指定这个数据传输端口的一个范围。
下面咱们修改一下ftp配置文件。
我这里使用vsftpd来修改演示,其余ftp我不知道哪里修改,你们能够找找资料。
[root@localhost rootvi /etc/vsftpd.conf
在配置文件的最下面 加入
pasv_min_port=30001
pasv_max_port=31000
而后保存退出。
这两句话的意思告诉vsftpd, 要传输数据的端口范围就在30001到31000 这个范围内传送。
这样咱们使用 iptables 就好办多了,咱们就打开 30001到31000 这些端口。
[root@localhost rootiptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[root@localhost rootservice iptables save
最后进行保存, 而后咱们再用浏览器范围下 ftp。能够正常访问
用个帐号登录上去,也没有问题,上传一些文件上去看看。
看到了吧,上传和下载都正常。。 再查看下 iptables 的设置
[root@localhost rootiptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:30001:31000
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:30001:31000
这是我为了演示ftp特殊端口作的简单规则,你们能够添加一些对数据包的验证
例如 -m state --state ESTABLISHED,RELATED 等等要求更加高的验证浏览器
例子1:服务器
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT网络
#如上例,添加一条入站规则:对进来的包的状态进行检测。已经创建tcp链接的包以及该链接相关的包容许经过! app
#ESTABLISHED:已创建的连接状态。RELATED:该数据包与本机发出的数据包有关。dom
例子2:tcp
iptables -A INPUT -i lo -j ACCEPT工具
#-i 参数是指定接口,这里的接口是lo ,lo就是Loopback(本地环回接口),意思就容许本地环回接口在INPUT表的全部数据通讯。
例子3:
-A INPUT -j REJECT --reject-with icmp-host-prohibited搜索
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝全部其余不符合上述任何一条规则的数据包。而且发送一条host prohibited的消息给被拒绝的主机。(通常不发送,就不添加这两条)
如下是iptables相关命令和参数:
ilter 这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的理动做(例如:DROP、 LOG、 ACCEPT 或 REJECT),咱们会将基本规则都创建在此规则表中。
主要包含:命令表
用来增长(-A、-I)删除(-D)修改(-R)查看(-L)规则等;
经常使用参数 用来指定协议(-p)、源地址(-s)、源端口(--sport)、目的地址(-d)、目的端口(--dport)、
进入网卡(-i)、出去网卡(-o)等设定包信息(即什么样的包); 用来描述要处理包的信息。
经常使用处理动做 用 -j 来指定对包的处理(ACCEPT、DROP、REJECT、REDIRECT等)。
一、经常使用命令列表: 经常使用命令(-A追加规则、-D删除规则、-R修改规则、-I插入规则、-L查看规则)
命令 -A, --append
范例 iptables -A INPUT ...
说明 新增规则(追加方式)到某个规则链(这里是INPUT规则链)中,该规则将会成为规则链中的最后一条规则。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则链中删除一条规则,能够输入完整规则,或直接指定规则编号加以删除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则,规则被取代后并不会改变顺序。(1是位置)
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明 插入一条规则,本来该位置(这里是位置1)上的规则将会日后移动一个顺位。
命令 -L, --list
范例 iptables -L INPUT
说明 列出某规则链中的全部规则。
命令 -F, --flush
范例 iptables -F INPUT
说明 删除某规则链(这里是INPUT规则链)中的全部规则。
命令 -Z, --zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
说明 定义新的规则链。
命令 -X, --delete-chain
范例 iptables -X allowed
说明 删除某个规则链。
命令 -P, --policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包,预设的处理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
说明 修改某自订规则链的名称。
二、经常使用封包比对参数:(-p协议、-s源地址、-d目的地址、--sport源端口、--dport目的端口、-i 进入网卡、-o 出去网卡)
参数 -p, --protocol (指定协议)
范例 iptables -A INPUT -p tcp (指定协议) -p all 全部协议, -p !tcp 去除tcp外的全部协议。
说明 比对通信协议类型是否相符,可使用 ! 运算子进行反向比对,例如:-p ! tcp ,
意思是指除 tcp 之外的其它类型,包含udp、icmp ...等。若是要比对全部类型,则可使用 all 关键词,例如:-p all。
参数 -s, --src, --source (指定源地址,指定源端口--sport)
例如: iptables -A INPUT -s 192.168.1.1
说明 用来比对封包的来源 IP,能够比对单机或网络,比对网络时请用数字来表示屏蔽,
例如:-s 192.168.0.0/24,比对 IP 时可使用 ! 运算子进行反向比对,
例如:-s ! 192.168.0.0/24。
参数 -d, --dst, --destination (指定目的地址,指定目的端口--dport)
例如: iptables -A INPUT -d 192.168.1.1
说明 用来比对封包的目的地 IP,设定方式同上。
参数 -i, --in-interface (指定入口网卡) -i eth+ 全部网卡
例如: iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入,可使用通配字符 + 来作大范围比对,
例如:-i eth+ 表示全部的 ethernet 网卡,也以使用 ! 运算子进行反向比对,
例如:-i ! eth0。
参数 -o, --out-interface (指定出口网卡)
例如: iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出,设定方式同上。
参数 --sport, --source-port (源端口)
例如: iptables -A INPUT -p tcp --sport 22
说明 用来比对封包的来源端口号,能够比对单一埠,或是一个范围,
例如:--sport 22:80,表示从 22 到 80 端口之间都算是符合件,
若是要比对不连续的多个埠,则必须使用 --multiport 参数,详见后文。比对埠号时,可使用 ! 运算子进行反向比对。
参数 --dport, --destination-port (目的端口)
例如: iptables -A INPUT -p tcp --dport 22
说明 用来比对封包的目的端口号,设定方式同上。
参数 --tcp-flags (只过滤TCP中的一些包,好比SYN包,ACK包,FIN包,RST包等等)
例如: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明 比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,
第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包括:SYN(同步)、ACK(应答)、
FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等都可使用于参数中,除此以外还可使用关键词 ALL 和
NONE 进行比对。比对旗号时,可使用 ! 运算子行反向比对。
参数 --syn
例如: iptables -p tcp --syn
说明 用来比对是否为要求联机之 TCP 封包,与 iptables -p tcp --tcp-flags SYN,
FIN,ACK SYN 的做用彻底相同,若是使用 !运算子,可用来比对非要求联机封包。
参数 -m multiport --source-port
例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号,一次最多能够比对 15 个埠,可使用 !
运算子进行反向比对。
参数 -m multiport --destination-port
例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号,设定方式同上。
参数 -m multiport --port
例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。
注意:在本范例中,若是来源端口号为 80目的地埠号为 110,这种封包并不算符合条件。
参数 --icmp-type
例如: iptables -A INPUT -p icmp --icmp-type 8
说明 用来比对 ICMP 的类型编号,可使用代码或数字编号来进行比对。
请打 iptables -p icmp --help 来查看有哪些代码可用。
参数 -m limit --limit
例如: iptables -A INPUT -m limit --limit 3/hour
说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是
否超过一次 3 个封包。 除了每小时平均次外,也能够每秒钟、每分钟或天天平均一次,
默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封数量的
比对外,设定这个参数也会在条件达成时,暂停封包的比对动做,以免因骇客使用洪水
攻击法,致使服务被阻断。
参数 --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超
过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。
参数 -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则炼上,这是由于封包要送出到网后,才能由网卡驱动程序透过 ARP 通信协议查出目的地的 MAC 地址,因此 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。
参数 --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
说明 用来比对封包是否被表示某个号码,当封包被比对成功时,咱们能够透过 MARK 处理动做,将该封包标示一个号码,号码最不能够超过 4294967296。
参数 -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
说明 用来比对来自本机的封包,是否为某特定使用者所产生的,这样能够避免服务器使用
root 或其它身分将敏感数据传送出,能够下降系统被骇的损失。惋惜这个功能没法比对出
来自其它主机的封包。
参数 -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
说明 用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。
参数 -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明 用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上。
参数 -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
说明 用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时
机同上。
参数 -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号(Session ID)没法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经创建的联机。
NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED 表示该封包是属于某个已经创建的联机,所创建的新联机。例如:FTP-DATA 联机一定是源自某个 FTP 联机。
三、经常使用的处理动做: (-j 指定对知足条件包的处理,经常使用动做有ACCEPT接受报、DROP丢弃报、REJECT丢弃报并通知对方、REDIRECT重定向包等)
-j 参数用来指定要进行的处理动做,经常使用的处理动做包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分别说明以下:
ACCEPT 将封包放行,进行完此处理动做后,将再也不比对其它规则,直接跳往下一个规则链(natostrouting)。
REJECT 拦阻该封包,并传送封包通知对方,能够传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动做后,将再也不比对其它规则,直接中断过滤程序。
例如:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丢弃封包不予处理,进行完此处理动做后,将再也不比对其它规则,直接中断过滤程序。
REDIRECT 将封包从新导向到另外一个端口(PNAT),进行完此处理动做后,将会继续比对其它规则。
这个功能能够用来实做通透式porxy 或用来保护 web 服务器。
例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改写封包来源 IP 为防火墙 NIC IP,能够指定 port 对应的范围,进行完此处理动做后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不一样,当进行 IP 假装时,不需指定要假装成哪一个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 一般是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。
例如:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动做后,将会继续比对其规则。
例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,能够指定 port 对应的范围,进行完此处理动做后,将直接跳往下一个规则(mangleostrouting)。
例如:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,能够指定 port 对应的范围,进行完此处理动做后,将会直接跳往下一个规炼(filter:input 或 filter:forward)。
例如:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 镜射封包,也就是未来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动做后,将会中断过滤程序。
QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,能够进行其它应用,
例如:计算联机费......等。
RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,若是把自订规则炼当作是一个子程序,那么这个动做,就至关提前结束子程序并返回到主程序中。
MARK 将封包标上某个代号,以便提供做为后续过滤的条件判断依据,进行完此处理动做后,将会继续比对其它规则。
例如:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
四.拓展模块
1.按来源MAC地址匹配
# iptables -t filter -A FORWARD -m --mac-source 00:02:b2:03:a5:f6 -j DROP
拒绝转发来自该MAC地址的数据包
2.按多端口或连续端口匹配
20: 表示20之后的全部端口
20:100 表示20到100的端口
:20 表示20以前的全部端口
-m multiport [--prots, --sports,--dports]
例子:
# iptables -A INPUT -p tcp -m multiport --dports 21,20,25,53,80 -j ACCEPT 【多端口匹配】
# iptables -A INPUT -p tcp --dport 20: -j ACCEPT
# iptables -A INPUT -p tcp --sport 20:80 -j ACCEPT
# iptables -A INPUT -p tcp --sport :80 -j ACCEPT
3.还能够按数据包速率和状态匹配
-m limit --limit 匹配速率 如: -m limit --limit 50/s -j ACCEPT
-m state --state 状态 如: -m state --state INVALID,RELATED -j ACCEPT
4.还能够限制连接数
-m connlimit --connlimit-above n 限制为多少个
相关知识:
Linux 中延时模拟
设置延时 3s :
tc qdisc add dev eth0 root netem delay 3000ms
能够在 3000ms 后面在加上一个延时,好比 ’3000ms 200ms‘表示 3000ms ± 200ms ,延时范围 2800 – 3200 之间.
结果显示以下
Linux 中丢包模拟
设置丢包 50% ,iptables 也能够模拟这个,但一下不记的命令了,下次放上来:
tc qdisc change dev eth0 root netem loss 50%
- 1. linux中iptables配置文件及命令详解详解
- 2. Linux iptables命令详解
- 3. linux下IPTABLES配置详解
- 4. Linux 下 iptables 配置详解
- 5. Linux下的iptables详解及配置
- 6. linux中iptables详解
- 7. Linux 防火墙iptables命令详解
- 8. linux下IPTABLES配置详解 (防火墙命令)
- 9. YUM仓库配置及命令详解
- 10. Telnet详解及配置命令
- 更多相关文章...
- • MyBatis配置文件详解 - MyBatis教程
- • *.hbm.xml映射文件详解 - Hibernate教程
- • Flink 数据传输及反压详解
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。