Iptables小总结

2019-09-04 21:43 来源:未知

1、iptables四表五链
四个表:
filter:用于过滤
nat:用于nat成效(端口映射,地址映射等)
mangle:用于对一定数据包的修改
raw:一般不让iptables做数据包的链接跟踪管理
五个链:
INPUT:相配目标地方为本机的
OUTPUT:向外转载的
FO卡宴WAHavalD:供给经过本机的数据包
PREROUTING:路由前,用于修改目标地址(DNAT)
POSTROUTING:路由后,用于修改源地址(SNAT)

2、常用操作命令
指令格式:iptables  [-t表]  -命令  匹配  操作
-A(append):追加一条准则
-I(insert):插入一条准则
-D(delete):删除一条法规,比如:iptables –D INPUT 3,删除第三条法则
-F(flush):清空准绳
-L(list):列出法则,使用-vnL来彰显相比好
-P(policy):设置某链私下认可法则

3、相配原则
-i:踏向接口
-o:出去接口
-s:来源地址,例如:-s 192.168.1.0/24,可单IP
-d:指标地址
-p:左券项目(tcp、udp、icmp)
--sport:来源端口,比方:--sport 一千:,相称源端口1000以上的,也能够1000:两千点名范围
--dport:目标端口

4、动作
ACCEPT:允许数据包通过
DROP:阻止数据包通过
REJECT:拒绝数据包通过,并再次回到报错消息
SNAT:应用nat表的POSTROUTING链,进行源地址转变,可单个、一组IP
DNAT:应用nat表的PREROUTING链,举办目标地址调换,可单个、一组IP
MASQUERADE:动态源地址转变,动态IP时使用
比如说ADSL拨号上网:iptables–t nat –A POSTROUTING –s 192.168.1.0/24 –o pppo –j MASQUERADE

5、附加模块
state:包状态十分,举例:iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
(NEW 第三个数据包状态,RELATED 有涉嫌的,当八个连连和有些已处于ESTABLISHED状态的连日有提到时,正是RELATED状态,像FTP连接。ESTABLISHED 已成立连接的图景,INVALID 没有另外动静)
mac:来源MAC地址相称
limit:包速率相称
multiport:多端口匹配,端口以逗号分隔

6、幸免一些些攻击
防止DOS攻击,限制单个IP最多叁10个开头连接:
iptables -I INPUT -ptcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
iptables -A INPUT -ptcp -m state --state ESTABLISHED,RELATED -j ACCEPT
防范DDOS攻击,限制每秒并发连接数:
iptables -A INPUT -ptcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 

7、配置NAT
echo "1" > /proc/sys/net/ipv4/ip_forward
内网访问外网(SNAT):
iptables –t nat -A PREROUTING -i eth0 -d 172.0.0.10 -j DNAT --to 192.168.0.100
外网访谈内网(DNAT):
iptables–t nat -A PREROUTING -d 172.0.0.10 -p tcp --dport 80 -j DNAT --to 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -p tcp --dport 80 -j SNAT --to 172.0.0.10

推介阅读:

iptables—包过滤(网络层)防火墙

Linux防火墙iptables详细教程

iptables+L7+Squid完毕全面包车型客车软件防火墙

iptables的备份、恢复生机及防火墙脚本的核心采纳

Linux下防火墙iptables用法律则详解

多个表: filter:用于过滤 nat:用于nat功用(端口映射,地址映射等) mangle:用于对特定数据包的修改 raw:一般不让i...

TAG标签:
版权声明:本文由990888藏宝阁发布于990888藏宝阁,转载请注明出处:Iptables小总结