目錄: 一、基本規則練習 二、SNAT源地址轉移 三、DNAT目標地址轉移 一、基礎規則練習 (1) 放行ssh (埠:22) (2)修改預設規則鏈(關閉所有埠) (3)放行web(80)埠 httpd nginx (4)修改預設規則鏈後,我們發現ping不通自己,也ping不通別的主機 (5 ...
目錄:
一、基本規則練習
二、SNAT源地址轉移
三、DNAT目標地址轉移
一、基礎規則練習
(1) 放行ssh (埠:22)
1 iptables -A INPUT -d 192.168.42.153 -p tcp --dport 22 -j ACCEPT 2 iptables -A OUTPUT -s 192.168.42.153 -p tcp --sport 22 -j ACCEPT
(2)修改預設規則鏈(關閉所有埠)
1 iptables -P INPUT DROP 2 iptables -P OUTPUT DROP 3 iptables -P FORWARD DROP
(3)放行web(80)埠 httpd nginx
1 iptables -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT 2 iptables -I OUTPUT -s 192.168.42.153 -p tcp --sport 80 -j ACCEPT
(4)修改預設規則鏈後,我們發現ping不通自己,也ping不通別的主機
1 iptables -t filter -I INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT 2 iptables -t filter -I OUTPUT -s 127.0.0.1 -d 127.0.0.1 -o lo -j ACCEPT
(5)允許自己ping別的主機
1 iptables -t filter -I OUTPUT -s 192.168.42.153 -d 0/0 -p icmp --icmp-type 8 -j ACCEPT 2 iptables -t filter -I INPUT -s 0/0 -d 192.168.42.153 -p icmp --icmp-type 0 -j ACCEPT
(6)允許任何人來ping本機
1 iptables -t filter -I INPUT -s 0/0 -d 192.168.42.153 -p icmp --icmp-type 8 -j ACCEPT 2 iptables -t filter -I OUTPUT -s 192.168.42.153 -d 0/0 -p icmp --icmp-type 0 -j ACCEPT
(7)同時開發多個埠(多埠匹配)
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 -j ACCEPT 2 iptables -I INPUT -d 0/0 -s 192.168.42.153 -p tcp -m multiport --sports 22,80,3306 -j ACCEPT
(8)iptables -vnL –line-numbers #顯示數字
iptables -vnL INPUT --line-numbers Chain INPUT (policy DROP 1 packets, 229 bytes) num pkts bytes target prot opt in out source destination 1 8 576 ACCEPT icmp -- * * 0.0.0.0/0 192.168.42.153 icmptype 8 2 12 1008 ACCEPT icmp -- * * 0.0.0.0/0 192.168.42.153 icmptype 0 3 16 1226 ACCEPT all -- lo * 127.0.0.1 127.0.0.1 4 88 7565 ACCEPT tcp -- * * 0.0.0.0/0 192.168.42.153 tcp dpt:80 5 2135 163K ACCEPT tcp -- * * 0.0.0.0/0 192.168.42.153 tcp dpt:22(9) 源地址,目的地址範圍匹配
1 iptables -I INPUT -d 192.168.42.153 -p tcp --dport 23 -m iprange --src-range 192.168.42.150-192.168.42.158 -j ACCEPT 2 iptables -I OUTPUT -s 192.168.42.153 -p tcp --dport 23 -m iprange --dst-range 192.168.42.150-192.168.42.158 -j ACCEPT
(10)禁止包含”old”字元的頁面出來
1 iptables -I OUTPUT -s 192.168.42.153 -d 0/0 -p tcp --sport 80 -m string --algo bm --string "old" -j DROP
(11)基於時間限定,9點到19點,禁止訪問80埠
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 --kerneltz -j DROP
(12)周一到周五9點到19點禁止訪問80埠
1 iptables -I INPUT -d 192.168.42.153 -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 --kerneltz --weekdays 1,2,3,4,5 -j DROP
(13)埠大於2個併發連接(禁止)
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j DROP
(14)埠同一個客戶端小於3個併發連接
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp --dport 22 -m connlimit ! --connlimit-above 3 -j DROP
(15)目標地址和埠轉換示例(對22埠的轉換)
1 iptables -t nat -A PREROUTING -d 10.1.249.125 -p tcp --dport 22022 -j DNAT --to-destination 192.168.2.4:22
二、SNAT源地址轉移
SNAT:源地址轉換。內網主機在訪問互聯網的時候所有源地址都轉換為防火牆的外網地址,起到隱藏內網客戶機的目的。同時,也解決了IPV4公網地址不夠用的需求。
1 iptables -t nat -A POSTROUTING -s 10.1.249.158 -j SNAT --to-source 192.168.2.3
三、DNAT目標地址轉移
DNAT:目的地址轉換。當外網主機訪問內網的某台伺服器的時候,如果直接暴露伺服器的IP於公網,可能會遭受各種各樣的攻擊,而DNAT的主要作用就是在伺服器前面添加一臺防火牆。將防火牆的地址公佈出去,讓外網客戶端通過訪問防火牆的地址就可以訪問到本地伺服器。這樣就起到了保護伺服器的目的;
1 iptables -t nat -A PREROUTING -d 10.1.249.125 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.4
