iptables基础（iptables基础原理）

iptables基础（iptables基础原理）

iptables----4张表----5个链---规则（过滤/控制作用）

-n 数字-L 列表-t 指定表 默认filter

加载如下模块到linux内核modprobe ip_tablesmodprobe iptable_filtermodprobe iptable_natmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpmodprobe ipt_state

lsmod |egrep "filter|nat"

iptables - F 清除所有规则iptables -X 删除自定义的链iptables -Z 清除计数器

-A 在末尾行添加规则-C 检查-D 删除-I 在第一条添加规则-s 指定源地址处理-i 指定进入接口 INPUT-o（小写）指定 出去接口 OUTPUT

iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #自杀iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

--dport 目的端口--sport 源端口-j 行为行为包括（DROP丢弃）（ACCEPT接受）（REJECT拒绝）

iptables -nL --line-numbers 显示规则序列号

iptables -t filter -D INPUT 2 删除第二行

/etc/init.d/iptables restart(用iptables命令行配置的命令都是临时生效)。

iptables -t filter -A INPUT -i eth0 -p icmp -s 10.0.0.8 -j DROP #指定进入网卡为eth0 源地址为.8

取反[root@oldboy ~]# iptables -t filter -A INPUT -i eth0 -p icmp ! -s 10.0.0.8 -j DROP[root@oldboy ~]# iptables -t filter -I INPUT -i eth0 -p icmp ! -s 10.0.0.10 -j DROP

匹配主机源IP，目的IPiptables -A INPUT -s 10.0.0.14iptables -A INPUT -s ! 10.0.0.14iptables -t nat -A PREROUTING -d 10.0.0.14iptables -t nat -A PREROUTING -d ! 10.0.0.14

匹配网段iptables -A INPUT -s 10.0.0.0/24iptables -A INPUT -s ! 10.0.0.0/24

匹配单一端口iptables -A INPUT -p tcp --sport 53iptables -A INPUT -p udp --dport 53

匹配指定端口之外的端口iptables -A INPUT -p tcp --dport ! 22 iptables -I INPUT -p tcp ! --dport 22 -s 10.0.0.123 -j DROP

匹配端口范围：iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -j ACCEPT <==次选iptables -I INPUT -p tcp --dport 3306:8809 -j ACCEPTiptables -I INPUT -p tcp --dport 18:80 -j DROP <==最佳iptables -I INPUT -p tcp --dport 21,22,23,24 -j ACCEPT <==错误语法

●7.允许关联的状态包通过(web服务不要使用FTP服务)#others RELATED ftp协议#允许关联的状态包iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

限制指定时间包的允许通过数量及并发数-m limit --limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率，后面为时间分别为：秒、分、时--limit-burst [n]：在同一时间内允许通过的请求"n"为数字,不指定默认为5[root@nginx01 ~]# iptables -I INPUT -s 10.0.1.0/24 -p icmp --icmp-type 8 -m limit --limit 5/min --limit-burst 2 -j ACCEPT

=======================================配置防火墙

iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT

[root@oldboy ~]# iptables -F[root@oldboy ~]# iptables -X[root@oldboy ~]# iptables -Z[root@oldboy ~]# iptables -nL [root@oldboy ~]# iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT[root@oldboy ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@oldboy ~]# iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT[root@oldboy ~]# iptables -A INPUT -p tcp -s 172.16.1.0/24 -j ACCEPT [root@oldboy ~]# iptables -P INPUT DROP

iptables -P FORWARD DROPiptables -P INPUT DROPiptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT #允许回环端口访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPTiptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

nmap 10.0.0.19 -p 1-65535 ç时间很长回执：Starting Nmap 5.51 ( ) at 2013-12-21 12:08 CSTNmap scan report for C58-server-C (10.0.0.19)Host is up (0.00028s latency).Not shown: 65533 filtered portsPORT STATE SERVICE80/tcp open save #保存iptables-save >/etc/sysconfig/iptables #保存

=====================================考试题：

局域网共享上网(nat表的POSTROUTING链（内网上外网）

db-01上：ifdown eth0route add default gw 172.16.1.5route -n

lb-01上：[root@lb01 ~]# vim /etc/sysctl.conf [root@lb01 ~]# grep forward /etc/sysctl.conf

Controls IP packet forwarding

net.ipv4.ip_forward = 1[root@lb01 ~]# sysctl -pnet.ipv4.ip_forward = 1#地址转换iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.5#查看iptables -nL -t natvim /etc/resolv.conf

局域网共享的两条命令方法：方法1：适合于有固定外网地址的：iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8(1)-s 172.16.1.0/24 办公室或IDC内网网段。(2)-o eth0 为网关的外网卡接口。(3)-j SNAT --to-source 10.0.0.8 是网关外网卡IP地址。方法2：适合变化外网地址（ADSL）：iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE ç伪装。

=====================================

#在10段主机可以通过访问lb01 10.0.0.7:9999，即可访问到172.16.1.51:22 SSH

#LB-01上：ip addr add 10.0.0.7/24 dev eth0 label eth0:0#添加规则iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 9999 -j DNAT --to-destination 172.16.1.51:22

#web-01上：ssh -p9999 10.0.0.7

==================================跨不同网段IP服务器通信问题(1)生产环境大于254台机器网段划分及路由解决方案详解01 (2) linux route命令深入浅出与实战案例精讲-t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.103-124.42.60.106#iptables -t nat -A POSTROUTING -s 172.16.1.0/22 -o eth0 -j SNAT --to-source 10.0.0.241-10.0.0.249问题：1、2000人被封2、可用65535端口资源有限

===========================iptables优化，了解即可放到/etc/sysctl.conf下sysctl -p 生效

dmesg里面显示 ip_conntrack: table full, dropping packet.的错误提示.如何解决。#以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。c58:net.ipv4.ip_conntrack_max = 25000000net.ipv4.netfilter.ip_conntrack_max=25000000net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120################################################################C64：net.nf_conntrack_max = 25000000net.netfilter.nf_conntrack_max = 25000000net.netfilter.nf_conntrack_tcp_timeout_established = 180net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

1.1.1 Iptables企业应用场景1、主机防火墙（filter表的INPUT链）。2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。3、端口及IP（一对一）映射(nat表的PREROUTING链)，硬防的NAT功能。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。