日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

從理論到實踐:iptables使用時的樣板

云知道


在設(shè)定 iptables 的封包過濾規(guī)則時,有幾個樣板的動作,若先熟悉它們,往后就可自行套用,依此類推,很快地,您就可以進入這個天地之中 。
觀察目前的設(shè)定
作法如下∶
iptables -L -n
iptablse -t nat -L -n
定義變數(shù)
FW_IP="163.26.197.8"
打開核心 forward 功能
作法如下∶
###-----------------------------------------------------###
# 打開 forward 功能
###-----------------------------------------------------###
echo "1" > /proc/sys/net/ipv4/ip_forward
清除所有的規(guī)則
一開始要先清除所有的規(guī)則,重新開始,以免舊有的規(guī)則影響新的設(shè)定 。作法如下∶
###-----------------------------------------------------###
# 清除先前的設(shè)定
###-----------------------------------------------------###
# 清除預(yù)設(shè)表 filter 中,所有規(guī)則鏈中的規(guī)則
iptables -F
# 清除預(yù)設(shè)表 filter 中,使用者自訂鏈中的規(guī)則
iptables -X
# 清除mangle表中,所有規(guī)則鏈中的規(guī)則
iptables -F -t mangle
# 清除mangle表中,使用者自訂鏈中的規(guī)則
iptables -t mangle -X
# 清除nat表中,所有規(guī)則鏈中的規(guī)則
iptables -F -t nat
# 清除nat表中,使用者自訂鏈中的規(guī)則
iptables -t nat -X
選定預(yù)設(shè)的政策
接著,要選定各個不同的規(guī)則鏈,預(yù)設(shè)的政策為何 。作法如下∶
預(yù)設(shè)全部丟棄∶
###-----------------------------------------------------###
# 設(shè)定 filter table 的預(yù)設(shè)政策
###-----------------------------------------------------###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
或者預(yù)設(shè)全部接受∶
###-----------------------------------------------------###
# 設(shè)定 filter table 的預(yù)設(shè)政策
###-----------------------------------------------------###
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
各個規(guī)則鏈的預(yù)設(shè)政策可獨立自主的設(shè)定,不必受其它鏈的影響 。
以下練習,若目標為 DROP,則 policy 請設(shè)為 ACCEPT;若目標為 ACCEPT,則 policy 請設(shè)為 DROP,如此方可看出效果 。
開放某一個介面
作法如下∶
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
注∶IPFW 或 Netfilter 的封包流向,local process 不會經(jīng)過 FORWARD Chain,
因此 lo 只在 INPUT 及 OUTPUT 二個 chain 作用 。
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
IP 偽裝
使內(nèi)部網(wǎng)路的封包經(jīng)過偽裝之后,使用對外的 eth0 網(wǎng)卡當作代表號,對外連線 。作法如下∶
###-----------------------------------------------------###
# 啟動內(nèi)部對外轉(zhuǎn)址
###-----------------------------------------------------###
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指∶把 172.16.0.0/16 這個網(wǎng)段,偽裝成 $FW_IP 出去 。
虛擬主機
利用轉(zhuǎn)址、轉(zhuǎn) port 的方式,使外部網(wǎng)路的封包,可以到達內(nèi)部網(wǎng)路中的伺服主機,俗稱虛擬主機 。這種方式可保護伺服主機大部份的 port 不被外界存取,只開放公開服務(wù)的通道(如 Web Server port 80),因此安全性甚高 。
作法如下∶
###-----------------------------------------------------###
# 啟動外部對內(nèi)部轉(zhuǎn)址
###-----------------------------------------------------###
# 凡對 $FW_IP:80 連線者, 則轉(zhuǎn)址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

推薦閱讀