最全的iptables防火墻詳解

iptables /

iptables /

iippttaabblleess官方網站：hhttttpp::nneettffiilltteerr..oorrgg//

? 數據包經過防火墻的路徑

? 禁止端口

? 強制訪問某站點

? 發布內部網絡服務器

? 智能DNS

? 端口映射

? 通過NAT上網

? IP 規則的保存與恢復

? iptables指令語法

? iptables實例

數據包經過防火墻的路徑

圖1比較完整地展示了一個數據包是如何經過防火墻的，考慮到節省空間，該圖實際上包了三種

情況：

來自外部，以防火墻(本機)為目的地的包，在圖1中自上至下走左邊一條路徑。

由防火墻(本機)產生的包，在圖1中從“本地進程”開始，自上至下走左邊一條路徑

來自外部，目的地是其它主機的包，在圖1中自上至下走右邊一條路徑。

圖1

如果我們從上圖中略去比較少用的mangle 表的圖示,就有圖2所顯示的更為清晰的路徑圖.

圖2

禁止端口的實例

ssh

ssh

禁止sssshh端口

只允許在上使用ssh遠程登錄，從其它計算機上禁止使用ssh

#iptables-A INPUT -s-p tcp--dport22-j ACCEPT

#iptables-A INPUT -ptcp--dport22-jDROP

禁止代理端口

#iptables-A INPUT -ptcp--dport3128-j REJECT

icmp

icmp

禁止iiccmmpp端口

除外，禁止其它人ping我的主機

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type echo-request-j ACCEPT

#iptables-A INPUT -i eth0-picmp --icmp-typeecho-request –j ?DROP

或

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type 8-jACCEPT

#iptables-A INPUT -i eth0-picmp -m icmp--icmp-type 8-j DROP

注：可以用iptables--protocolicmp--help 查看ICMP 類型

還有沒有其它辦法實現?

QQ

QQ

禁止QQQQ端口

#iptables-D FORWARD-pudp--dport8000-j REJECT

強制訪問指定的站點

圖3

要使/24網絡內的計算機(這此計算機的網關應設為0)強制訪問指定的站

點,在做為防火墻的計算機(0)上應添加以下規則:

1. 打開ip包轉發功能

echo1> /proc/sys/net/ipv4/ip_forward

2. 在NAT/防火墻計算機上的NAT表中添加目的地址轉換規則:

iptables-t nat-IPREROUTING -i eth0-ptcp--dport80-j DNAT --to-destination30:80

iptables-t nat-IPREROUTING -i eth0-pudp--dport80-j DNAT--to-destination30:80

3. 在NAT/防火墻計算機上的NAT表中添加源地址轉換規則:

iptables-t nat-IPOSTROUTING-o eth1-ptcp--dport80-s /24-j SNAT --to-source

0:20000-30000

iptables-t nat-IPOSTROUTING-o eth1-pudp--dport80-s/24-jSNAT --to-source

0:20000-30000

4. 測試:在內部網的任一臺計算機上打開瀏覽器,輸入任一非本網絡的IP,都將指向IP 為

30的網站.

發布內部網絡服務器

圖4

要使因特網上的計算機訪問到內部網的FTP 服務器、WEB 服務器,在做為防火墻的計算機上應

添加以下規則:

1.echo1>/proc/sys/net/ipv4/ip_forward

2. 發布內部網web服務器

iptables-t nat-IPREROUTING -ptcp-i eth1-s/24--dport80-jDNAT --to-destination

5:80

iptables-t nat-IPOSTROUTING-p

總結

以上是生活随笔為你收集整理的iptable 详解_最全的iptables防火墙详解.pdf的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。