苏州市住房建设局网站,网站和网址有什么不同,seo文章是什么,国外炫酷网站1、介绍
iptables 是一个在 Linux 系统上用于配置和管理防火墙规则的工具。它允许系统管理员定义数据包的过滤规则、网络地址转换#xff08;NAT#xff09;规则和数据包的网络地址和端口的转发规则。iptables 提供了非常灵活和强大的功能#xff0c;可以用于保护网络安全、…1、介绍
iptables 是一个在 Linux 系统上用于配置和管理防火墙规则的工具。它允许系统管理员定义数据包的过滤规则、网络地址转换NAT规则和数据包的网络地址和端口的转发规则。iptables 提供了非常灵活和强大的功能可以用于保护网络安全、实现网络地址转换、限制网络流量等。
2、命令
2.1 命令格式
iptables命令的一般格式如下
iptables [OPTIONS] -t table -A chain [MATCH] -j target其中OPTIONS 是一些可选的命令选项用于指定一些特定的操作或参数。
-t table 指定要操作的表如filter、nat、mangle等。-A chain 指定要追加规则的链。[MATCH] 是一些匹配条件用于匹配数据包的特定属性。-j target 指定规则的目标动作即数据包匹配成功后要执行的操作
2.2 四张表
filter 表
用于过滤数据包即根据规则决定是否允许数据包通过防火墙。可以配置规则来允许或拒绝数据包的传输实现基本的网络访问控制。通常用于实现基本的网络安全功能如阻止特定IP地址的访问、允许特定端口的访问等。
nat 表Network Address Translation网络地址转换
用于修改数据包的源或目标地址实现网络地址转换功能。可以将私有网络内部的IP地址转换为公网IP地址源地址转换也可以将目标地址转换为内部的IP地址目标地址转换。通常用于实现内网访问外网的功能或者实现端口映射等。
mangle 表
用于对数据包进行特定的修改如修改TTLTime to Live字段、标记数据包等。可以在数据包经过防火墙时对其进行特定的处理而不是简单地允许或拒绝。通常用于实现一些高级的网络功能如负载均衡、QoSQuality of Service等。
raw 表
iptables中的一个特殊表用于在数据包进入连接追踪之前进行处理。它提供了一种在数据包进行连接追踪之前处理数据包的机制可以用于一些特定的场景和需求
2.3 五个链
PREROUTING路由前这个链用于在数据包进入路由流程之前进行处理。它通常用于目的地址转换DestinationNAT或者对数据包进行标记。举例来说当数据包到达网络接口时可以使用PREROUTING链将数据包的目的地址进行修改以便将数据包重定向到不同的目标主机。INPUT数据包流入口这个链用于处理发往本地系统的数据包。当数据包的目的地址是本地系统它将经过INPUT链进行处理。举例来说当一台服务器收到一个SSH连接请求时数据包将经过INPUT链进行处理以确定是否允许该连接进入系统。FORWARD转发管卡这个链用于处理通过系统进行转发的数据包。当数据包的目的地址不是本地系统且需要通过系统进行转发时它将经过FORWARD链进行处理。举例来说当一台路由器收到一个数据包需要将它转发到另一个网络时数据包将经过FORWARD链进行处理。OUTPUT数据包出口这个链用于处理从本地系统发出的数据包。当数据包由本地系统发出时它将经过OUTPUT链进行处理。举例来说当本地系统发出一个HTTP请求时数据包将经过OUTPUT链进行处理以确定是否允许该请求离开系统。POSTROUTING路由后这个链用于在数据包离开系统之前进行处理。它通常用于源地址转换SourceNAT或者对数据包进行标记。举例来说当数据包即将离开系统的网络接口时可以使用POSTROUTING链将数据包的源地址进行修改以便隐藏真实的源地址或者实现负载均衡。
2.4 iptables命令选项
-A, --append chain rule-specification [options]: 将规则追加到指定的链chain中。-C, --check chain: 检查规则是否存在。-D, --delete chain [rulenum]: 从指定的链中删除匹配的规则如果指定了rulenum则删除指定编号的规则。-I, --insert chain [rulenum] rule-specification [options]: 在指定的链中插入规则如果指定了rulenum则插入到指定编号的位置。-R, --replace chain rulenum rule-specification [options]: 替换指定链中指定编号的规则。-L, --list [chain [rulenum]]: 列出指定链中的规则如果没有指定链名则列出所有链中的规则。-S, --list-rules [chain [rulenum]]: 打印指定链中的规则如果没有指定链名则打印所有链中的规则。-F, --flush [chain]: 清空指定链中的所有规则如果没有指定链名则清空所有链中的规则。-Z, --zero [chain [rulenum]]: 将指定链中的数据包和字节计数器归零如果没有指定链名则归零所有链中的计数器。-N, --new chain: 创建一个新的用户自定义链。-X, --delete-chain [chain]: 删除一个用户自定义链如果没有指定链名则删除所有用户自定义链。-P, --policy chain target [options]: 修改指定链的默认策略。-E, --rename-chain old-chain new-chain: 修改用户自定义链的名称并移动任何引用该链的地方。-p, --protocol proto: 指定协议可以是协议号或协议名。-s, --source address[/mask][...]: 指定源地址。-d, --destination address[/mask][...]: 指定目标地址。-i, --in-interface input name[]: 指定输入网络接口名。-j, --jump target: 指定规则的目标动作。-g, --goto chain: 跳转到指定链没有返回。-m, --match match: 扩展匹配可以加载扩展。-n, --numeric: 使用数字形式输出地址和端口。-o, --out-interface output name[]: 指定输出网络接口名。-t, --table table: 指定要操作的表默认为filter。-v, --verbose: 显示详细信息。-w, --wait [seconds]: 在放弃之前尝试获取xtables锁的最长等待时间。-W, --wait-interval [usecs]: 尝试获取xtables锁的等待时间默认为1秒。-x, --exact: 显示精确值。-f, --fragment: 仅匹配第二个或更多的分片。-V, --version: 打印软件包版本号。
3、实际操作
3.1 禁止访问eth0网卡的22端口
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP
-A 指定操作INPUT链-i 指定网络接口为eth0-p 指定tcp协议--dport 指定端口-j 指定DROP丢弃包
ssh使用在22端口进行监听 添加该规则后使用PC就无法连接到终端的22端口 使用以下命令删除该规则
iptables -D INPUT -i eth0 -p tcp --dport 8080 -j DROP
3.2 指定使用wlan0访问固定IP
iptables -t nat -A POSTROUTING -d 172.20.247.121 -o wlan0 -j MASQUERADE
-t 指定nat表-A 指定链POSTROUTING-d 指定IP 172.20.247.121-o wlan0 指定输出wlan0网口-j MASQUERADE修改数据包的源地址
3.3 查看当前nat表详细规则
iptables -t nat -nvL
-t 指定nat表-nvL-n表示显示IP地址和端口号时不进行反向解析显示数字格式。-v显示详细信息包括数据包和字节计数。-L表示列出当前nat表中的规则。
