七周四次課(1月25日)
10.15 iptables filter表案例
需求 80 22 21端口放行 22端口需要指定一個ip段
ipt 定義一個變量
-F 清空原有規則
-P 默認規則
-m state --state RELATED,ESTABLISHED -j ACCEPT 3次握手4次揮手 把已建立通信和保持連接的通信的數據包放行,這條是必須有的指令
執行腳本
查看規則
iptables -I INPUT -p icmp --icmp-type 8 -j DROP 這個規則作用可以使本機可以ping其他機器,但是其他機器無法ping通本機
10.16/10.17/10.18 iptables nat表應用
首先準備1個虛擬機1,克隆一個2,虛擬機1添加一個私網網卡,做好快照,2的外網網卡禁用,添加網卡並使用同樣的LAN區段,快照,啟動2個機器
虛擬機1
給虛擬機1 ens37設置內網ip,可以使用命令行,也可以編輯配置文件
給虛擬機2 ens37設置內網ip 這時兩臺機器內網ip能夠相互ping通,2不能連外網
1機器
cat /proc/sys/net/ipv4/ip_forward 查看端口轉發,默認是0,沒打開,設置為1打開端口轉發
echo "1" > /proc/sys/net/ipv4/ip_forward
1機器增加nat規則
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
2機器設置網關 DNS 可以連外面的網,外網ping不通
route add default gw 192.168.100.1
需求 3機器通過1機器連接2機器 端口映射
打開1機器端口轉發
echo "1" > /proc/sys/net/ipv4/ip_forward
1機器增加規則
iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22 進去的包轉發到192.168.100.100的22端口
iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130 出來的包把目標地址改為192.168.133.130
給2機器加上網關
3機器
擴展
1. iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html
七周四次課(1月25日)