亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

iptables規則中SNAT規則設置（下）

netstat -luntp | grep 80

ip addr????#查看網關服務器上的兩張網卡，在這臺服務器上做NAT；

vim /etc/sysctl.conf????#數據包轉發需打開內核的參數；

????net.ipv4.ip_forward = 0????改為1；

????sysctl -p????#讓配置全部執行；

????sysctl -a | grep ip_forward????#查看是生效；

iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232? ? #制定轉發規則；

iptables -t nat -L????#查看nat表內容

netstat -rn????#在客戶端pc上查看當前路由表；

route add 0.0.0.0 gw 10.10.177.232? ? #在客戶端pc上加入路由；

curl http://101.101.101.101/xxxxx/????#進行測試；

iptables -I INPUT -i lo -j ACCEPT????#允許本地回環地址訪問；

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 192.168.235.0/24 -j ACCEPT

iptables -A INPUT -s 192.168.8.0/24 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT????#VPN端口；

iptables -I INPUT -p icmp -j ACCEPT

iptables -A INPUT -j REJECT

service iptables save????#讓配置的防火墻策略永久生效

vi /etc/sysconfig/iptables

1、公司內部（192.168.6.0/24、192.168.8.0/24）能訪問服務器上的任何服務；

2、員工出差，通過撥號連到公司VPN，再連接公司內網FTP、SAMBA、NFS、SSH；

3、公司網站允許公網訪問；

iptables -I INPUT -p tcp -s 192.168.235.1 --dport 80 -j ACCEPT????#只允許主機192.168.235.1訪問服務器80服務；

iptables -I INPUT -i lo -j ACCEPT????#允許本機telnet訪問本機；

iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT????#允許本機訪問其它主機；

netstat -luntp????#查看當前開放的端口；

iptables -V? ? #查看iptables版本；

iptables -L? ? #列出已有規則；

iptables -nL? ? #列出已有規則；

????-n????讓主機名等不顯示；

iptables -I? ? #在第一列插入一條規則；

iptables -A? ? #在最后一列添加一條規則；

iptables -F? ? #清除已有規則；

iptables -I INPUT -p tcp --dport 22 -j ACCEPT????#允許所有地址訪問22端口；

iptables -I INPUT -p tcp --dport 80 -j ACCEPT? ? #允許所有地址訪問80端口；

iptables -D INPUT -p tcp --dport 80 -j ACCEPT? ? #刪除允許所有地址訪問80端口；

iptables -I INPUT -p tcp --dport 10：21 -j ACCEPT????#允許所有地址訪問10到21端口；

iptables -I INPUT -p icmp -j ACCEPT????#允許所有地址基于ICMP協議的數據包訪問；

iptables -A INPUT -j REJECT????#其它未被允許端口則禁止訪問；

netstat -lntp

iptables -nL

iptables規則組成

數據包訪問控制：accept(接收允許通過)、drop(丟棄)、reject(丟棄并反饋)

數據包改寫：snat(對源地址改寫)、dnat(對目的地址改寫)

信息記錄：log(日志)

iptables規則組成：四張表+五條鏈（Hook point）+規則

四張表：filter表、nat表、managle表、raw表；

五條鏈：input、output、forward、prerouting、postrouting

netfilter是由Rusty Russell提出的Linux 2.4內核防火墻框架，該框架既簡潔又靈活，可實現安全策略應用中的許多功能，如數據包過濾、數據包處理、地址偽裝、透明代理、動態網絡地址轉換(Network Address?Translation，NAT)，以及基于用戶及媒體訪問控制(Media Access Control，MAC)地址的過濾和基于狀態的過濾、包速率限制等。

iptables????#Linux系統下的應用層防火墻工具。

http 80 ?pop3 110 ?smtp 25

iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue, Wed, Thu, Fri, Sat -j DROP # 工作時間禁止聊qq

iptables清理工作 /bin/sh modprobe ipt_MASQUERADE modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F

防止SYN攻擊訪問限制 iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT

iptables -F

iptables -I INPUT -i lo -j ACCEPT允許本地訪問

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT允許對外訪問

iptables -A INPUT -s 10.10.155.0/24 -j ACCEPT允許155網端的訪問我的服務

iptables -A INPUT -s 10.10.188.0/24 -j ACCEPT

iptables -A INPUT -s 10.10.140.0/24 -j ACCEPT允許本機訪問

iptables -A INPUT -p tcp --dport 80 -j ACCEPT允許所有機器訪問80端口

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT常用vpn的接口都是1723

iptables -I INPUT -p icmp -j ACCEPT icmp允許訪問

iptables -A INPUT -j REJECT 其他的都拒絕

/etc/init.d/iptables save 保存設置

chkconfig iptables on 設置為開機啟動

chkconfig --list|grep iptables 跟隨系統

iptables -I INPUT -p tcp -s 10.10.188.233 --dport 80 -j ACCEPT允許ip為10.10.188.233的主機訪問80端口

對本地的網卡設備允許訪問

iptables -I INPUT -i lo -j ACCEPT允許對lo過來的數據包

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT對外訪問時,如果ftp的狀態為established和related時允許訪問