需求 80 22 21端口放行 22端口需要指定一個ip段

ipt 定義一個變量

-F 清空原有規則

-P 默認規則

-m state --state RELATED,ESTABLISHED -j ACCEPT 3次握手4次揮手 把已建立通信和保持連接的通信的數據包放行，這條是必須有的指令

執行腳本

查看規則

iptables -I INPUT -p icmp --icmp-type 8 -j DROP 這個規則作用可以使本機可以ping其他機器，但是其他機器無法ping通本機

10.16/10.17/10.18 iptables nat表應用

首先準備1個虛擬機1，克隆一個2，虛擬機1添加一個私網網卡，做好快照，2的外網網卡禁用，添加網卡並使用同樣的LAN區段，快照，啟動2個機器

虛擬機1

給虛擬機1 ens37設置內網ip，可以使用命令行，也可以編輯配置文件

給虛擬機2 ens37設置內網ip 這時兩臺機器內網ip能夠相互ping通，2不能連外網

1機器

cat /proc/sys/net/ipv4/ip_forward 查看端口轉發，默認是0，沒打開，設置為1打開端口轉發

echo "1" > /proc/sys/net/ipv4/ip_forward

1機器增加nat規則

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

2機器設置網關 DNS 可以連外面的網，外網ping不通

route add default gw 192.168.100.1

需求 3機器通過1機器連接2機器 端口映射

打開1機器端口轉發

echo "1" > /proc/sys/net/ipv4/ip_forward

1機器增加規則

iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22 進去的包轉發到192.168.100.100的22端口

iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130 出來的包把目標地址改為192.168.133.130

給2機器加上網關

3機器

擴展
1. iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html

七周四次課（1月25日）