本文作者:不许人间见白头

Linux之iptables小案例

不许人间见白头 2个月前 ( 12-13 ) 103

iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT  进来的包

-I :表示插入一条规则,插入后显示在最上面,-A是插入在最后

# iptables -P INPUT DROP

慎用

需求:

值针对filter表,预设的INPUT链接DROP,其中两个链接ACCEPT,然后针对192.168.5.1开放22端口,对所有网段开放80和21端口,这个需求并不复杂,建议是写成脚本方式运行,脚本如下

vi /usr/local/sbin/iptables.sh
#!/bin/bash
ipt="/usr/sbin/iptables"
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -s 192.168.5.1 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

完成脚本后直接运行/bin/sh /usr/local/sbin/iptables.sh即可,如果想开机初始化防火墙规则,则需要在/etc/rc.d/rc.local中添加一行

/bin/sh /usr/local/sbin/iptables.sh

blob.png

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

这里的--icmp-type选项要跟-p icmp 一起使用,后面指定类型的编号。这个8指的是能在本机ping通其他ip,而其他ip不能ping通本机

iptables nat表应用

A机器两块网卡ens36(192.168.5.16)、ens37(10.0.0.1),ens36可以上外网,ens37仅仅是内部网络,B机器只有ens37(10.0.0.2),和A机器ens37可以通信互联。

blob.png

首先先添加一个网卡,然后选择LAN区段,添加一个vpc段,最后点确定,第二太选择刚才创建的内网vpc

# ifconfig ens37 10.0.0.1/24   临时设置一个ip(命令行添加ip)

blob.png

第二台也设置下ip

设置完后ping下第一台机器的内网网卡看看能否通

blob.png

 iptables nat表应用(中)

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward  打开端口转发

A上执行 

# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o ens36 -j MASQUERADE

blob.png

B上设置网关为10.0.0.1

# route add default gw 10.0.0.1   设置网关

blob.png

vi /etc/resolv.conf

nameserver 114.114.114.114

blob.png

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

A上打开路由转发echo "1">/ proc/sys/net/ipv4/ip_forward

A上执行iptables -t nat -A PREROUTING -d 192.168.5.16 -p tcp --dport 1122 -j DNAT --to 10.0.0.2:22  进去的包

A上执行iptables -t nat -A POSTROUTING -s 10.0.0.2 -j SNAT --to 192.168.5.16 回来的包

B上设置网关为10.0.0.1

blob.png

iptables规则备份和恢复

保存和备份iptables规则

service iptables save //会把规则保存到/etc/sysconfig/iptables

一旦我们清除防火墙规则后,规则就会不存在了这个时候我们要备份一份

把iptables规则备份到my.ipt文件中

iptables-save > my.ipt

恢复刚才备份的规则

iptables-restore < my.ipt

文章版权及转载声明

作者:不许人间见白头本文地址:https://www.ahaoyw.com/article/66.html发布于 2个月前 ( 12-13 )
文章转载或复制请以超链接形式并注明出处阿豪运维笔记

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏