linux防火墙的语法规则,以及常用防火墙命令的意思
2017-03-01 15:32
495 查看
一、语法规则
iptables -t 表名(小写) 选项(大写) 链名(大写) 条件(小写) -j 动作(大写)
raw -A(末尾添加) PREROUTING -p(协议名地址匹配) DROP(丢弃)
mangle -I(插入,默认在最前面) INPUT -s(源ip) ACCEPT(允许)
nat -D(删除) FORWARD -d(目标地址) REJECT(拒接)
filter -L(列出) OUTPUT -i(入站网卡) LOG(日志)
-v(列出详细信息) POSTROUTING -o(出战网卡)
--line-numbers(显示行号) --sport(源端口)
-n(数字化显示) --dport(目标端口)
-F(清空规则) --tcp-flags(检查范围)
-P(设置默认规则) --icmp-type(ICMP类型)
-m multiport --sports (源端口)
-m mutiportt --dports (目端口)
-m iprange --src-rang (IP范围ip1-ip2)
-m mac --mac-source (MAC 地址)
-m state --state (链接状态)
ESTABLISHED(已经建立链接的会话)
NEW(新建立的会话)
RELATED(已经链接的会话相关的会话)
由ENW到ESTABLISHED
由RELATED到ESTABLISHED
使用SNAT和DNAT都必须开启路由功能
SNAT:局域网主机共享单个公网ip上网,隐藏内网主机。通过修改数据包的源IP地址实现
iptables -t nat -A POSTROUTING -s 内网网段 -o 外网网卡 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 内网IP -o 外网网卡 -j SANT --to-source 外网卡IP
DNAT:发布内部服务器使用,通过修改数据包的目的地址实现,在路由前时机将公网客户机访问网关的数据中目的 修改为内网服务器地址
iptables -t nat -A PREROUTING -i 外网网卡 -d 外网IP -p tcp --dport 发布的服务端口 -j DNAT --to-destination 内网服务器IP:端口
二、常用
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ##在防火墙规则的尾部追加一条入站规则:开启链接跟踪对本机的状态检测功能。让本机通信并且状态属于ESTABLISHED,RELATED的数据包让它通过。大概意思就是能够快速的转发数据包,而且每个数据包都去进行过虑了。
Iptables -A INPUT -p tcp -m multiport --dports 20,21,80,443,50000:60000 -j ACCEPT ##在防火墙规则的尾部追加一条入战规则:允许20,21,80,443,50000:60000 端口通过
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.250:80 ##发布web
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 20:21 -j DNAT --to-destination 192.168.100.250 ##发布ftp
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 3333 -j DNAT --to-destination 192.168.100.250:22 ##发布ssh(发布ftp的时候需要加载ip_nat_ftp,命令是:modprobe ip_nat_ftp,查看是否加载:lsmod |grep ftp)
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 192.168.20.107
iptables -t 表名(小写) 选项(大写) 链名(大写) 条件(小写) -j 动作(大写)
raw -A(末尾添加) PREROUTING -p(协议名地址匹配) DROP(丢弃)
mangle -I(插入,默认在最前面) INPUT -s(源ip) ACCEPT(允许)
nat -D(删除) FORWARD -d(目标地址) REJECT(拒接)
filter -L(列出) OUTPUT -i(入站网卡) LOG(日志)
-v(列出详细信息) POSTROUTING -o(出战网卡)
--line-numbers(显示行号) --sport(源端口)
-n(数字化显示) --dport(目标端口)
-F(清空规则) --tcp-flags(检查范围)
-P(设置默认规则) --icmp-type(ICMP类型)
-m multiport --sports (源端口)
-m mutiportt --dports (目端口)
-m iprange --src-rang (IP范围ip1-ip2)
-m mac --mac-source (MAC 地址)
-m state --state (链接状态)
ESTABLISHED(已经建立链接的会话)
NEW(新建立的会话)
RELATED(已经链接的会话相关的会话)
由ENW到ESTABLISHED
由RELATED到ESTABLISHED
使用SNAT和DNAT都必须开启路由功能
SNAT:局域网主机共享单个公网ip上网,隐藏内网主机。通过修改数据包的源IP地址实现
iptables -t nat -A POSTROUTING -s 内网网段 -o 外网网卡 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 内网IP -o 外网网卡 -j SANT --to-source 外网卡IP
DNAT:发布内部服务器使用,通过修改数据包的目的地址实现,在路由前时机将公网客户机访问网关的数据中目的 修改为内网服务器地址
iptables -t nat -A PREROUTING -i 外网网卡 -d 外网IP -p tcp --dport 发布的服务端口 -j DNAT --to-destination 内网服务器IP:端口
二、常用
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ##在防火墙规则的尾部追加一条入站规则:开启链接跟踪对本机的状态检测功能。让本机通信并且状态属于ESTABLISHED,RELATED的数据包让它通过。大概意思就是能够快速的转发数据包,而且每个数据包都去进行过虑了。
Iptables -A INPUT -p tcp -m multiport --dports 20,21,80,443,50000:60000 -j ACCEPT ##在防火墙规则的尾部追加一条入战规则:允许20,21,80,443,50000:60000 端口通过
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.250:80 ##发布web
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 20:21 -j DNAT --to-destination 192.168.100.250 ##发布ftp
iptables -t nat -A PREROUTING -i eth0 -d 192.168.20.107 -p tcp --dport 3333 -j DNAT --to-destination 192.168.100.250:22 ##发布ssh(发布ftp的时候需要加载ip_nat_ftp,命令是:modprobe ip_nat_ftp,查看是否加载:lsmod |grep ftp)
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 192.168.20.107
相关文章推荐
- linux常用的命令以及其他的一些知识点
- linux 每日学一点《linux 常用命令以及技巧》
- SELinux是什么意思,如何关闭?Linux下的防火墙用什么命令打开?
- Linux中一些常用的命令,比如memcached的开启关闭,防火墙的开启关闭等
- 对于LINUX中常用压缩格式以及相关命令的总结
- linux常用命令:linux防火墙iptables
- Linux命令的格式、常用命令汇总以及一些系统基本概念
- Linux 视频设备驱动V4L2最常用的控制命令使用说明(1.02)以及我收藏的网址
- Linux防火墙:iptables禁IP与解封IP常用命令
- linux系统查看硬件以及系统信息常用命令汇总
- LINUX文件系统集成以及常用命令整合
- Linux端口以及防火墙端口的查看命令
- android shell命令以及Linux常用命令.(以后就不用东奔西走的找了)
- Linux用户以及权限相关常用命令总结
- 用命令chmod改最高权限要注意的一些事情以及一些meego系统的linux常用命令的说明
- linux常用命令以及命令帮助的使用
- Linux常用命令以及其他相关的小知识点
- android shell命令以及Linux常用命令.(以后就不用东奔西走的找了)
- Linux端口以及防火墙端口的查看命令
- 在ubuntu(linux)下安装vim,以及vim的常用命令