iptable 详解_最全的iptables防火墙详解.pdf

最全的iptables防火墙详解

iptables /

iptables /

iippttaabblleess官方网站:hhttttpp::nneettffiilltteerr..oorrgg//

• 数据包经过防火墙的路径

• 禁止端口

• 强制访问某站点

• 发布内部网络服务器

• 智能DNS

• 端口映射

• 通过NAT上网

• IP 规则的保存与恢复

• iptables指令语法

• iptables实例

数据包经过防火墙的路径

图1比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该图实际上包了三种

情况:

来自外部,以防火墙(本机)为目的地的包,在图1中自上至下走左边一条路径。

由防火墙(本机)产生的包,在图1中从“本地进程”开始,自上至下走左边一条路径

来自外部,目的地是其它主机的包,在图1中自上至下走右边一条路径。

图1

如果我们从上图中略去比较少用的mangle 表的图示,就有图2所显示的更为清晰的路径图.

图2

禁止端口的实例

ssh

ssh

禁止sssshh端口

只允许在上使用ssh远程登录,从其它计算机上禁止使用ssh

#iptables-A INPUT -s-p tcp--dport22-j ACCEPT

#iptables-A INPUT -ptcp--dport22-jDROP

禁止代理端口

#iptables-A INPUT -ptcp--dport3128-j REJECT

icmp

icmp

禁止iiccmmpp端口

除外,禁止其它人ping我的主机

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type echo-request-j ACCEPT

#iptables-A INPUT -i eth0-picmp --icmp-typeecho-request –j ?DROP

#iptables-A INPUT -i eth0-s/32-picmp-m icmp--icmp-type 8-jACCEPT

#iptables-A INPUT -i eth0-picmp -m icmp--icmp-type 8-j DROP

注:可以用iptables--protocolicmp--help 查看ICMP 类型

还有没有其它办法实现?

QQ

QQ

禁止QQQQ端口

#iptables-D FORWARD-pudp--dport8000-j REJECT

强制访问指定的站点

图3

要使/24网络内的计算机(这此计算机的网关应设为0)强制访问指定的站

点,在做为防火墙的计算机(0)上应添加以下规则:

1. 打开ip包转发功能

echo1> /proc/sys/net/ipv4/ip_forward

2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:

iptables-t nat-IPREROUTING -i eth0-ptcp--dport80-j DNAT --to-destination30:80

iptables-t nat-IPREROUTING -i eth0-pudp--dport80-j DNAT--to-destination30:80

3. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:

iptables-t nat-IPOSTROUTING-o eth1-ptcp--dport80-s /24-j SNAT --to-source

0:20000-30000

iptables-t nat-IPOSTROUTING-o eth1-pudp--dport80-s/24-jSNAT --to-source

0:20000-30000

4. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,都将指向IP 为

30的网站.

发布内部网络服务器

图4

要使因特网上的计算机访问到内部网的FTP 服务器、WEB 服务器,在做为防火墙的计算机上应

添加以下规则:

1.echo1>/proc/sys/net/ipv4/ip_forward

2. 发布内部网web服务器

iptables-t nat-IPREROUTING -ptcp-i eth1-s/24--dport80-jDNAT --to-destination

5:80

iptables-t nat-IPOSTROUTING-p

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/500973.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python中函数type可以测试对象类型_python类型检测最终指南--Typing模块的使用

正文共:30429 字预计阅读时间:76分钟原文链接:https://realpython.com/python-type-checking/作者:Geir Arne Hjelle译者:陈祥安在本指南中,你将了解Python类型检查。传统上,Python解释器以灵活但隐式的方式处理类型。…

java 图片分段上传_java 分段读取文件 并通过HTTP上传

1、首先将文件分段,用RandomAccessFile2、分段后将分出的内容上传到http1.[代码][Java]代码URL url new URL(actionUrl);HttpURLConnection con (HttpURLConnection) url.openConnection();/** 允许Input、Output,不使用Cache */con.setDoInput(true);…

python算法的基本原理_kNN算法基本原理与Python代码实践

kNN是一种常见的监督学习方法。工作机制简单:给定测试样本,基于某种距离度量找出训练集中与其最靠近的k各训练样本,然后基于这k个“邻居”的信息来进行预测,通常,在分类任务中可使用“投票法”,即选择这k个…

python中zip的使用_浅谈Python中的zip()与*zip()函数详解

前言1.实验环境: Python 3.6;2.示例代码地址:下载示例;3.本文中元素是指列表、元组、字典等集合类数据类型中的下一级项目(可能是单个元素或嵌套列表)。zip(*iterables)函数详解zip()函数的定义从参数中的多个迭代器取元素组合成一个新的迭代…

奥的斯电梯tt服务器使用表_奥的斯电梯服务器TT使用说明1

目录一、TT介绍............................................................................................................... 3二、OTIS TT插头各针脚说明................................................................................................. 4三、T…

python安装提示缺少dll_解决Python安装时报缺少DLL问题【两种解决方法】

准备开始学习Python,但是刚准备环境搭建时就遇到了下面的错误:仔细的看了看,说是缺少DLL。对于这个问题的解决办法:方法一:1. 在安装包上点右键以管理员身份运行2. C:\Users\用户名\AppData\Local\Temp 文件夹上右键-&…

影像科dsa为什么必须买维修保险_了解什么是DSA,看这篇就够了

相对于超声、CT、磁共振等,DSA可能对大部分人而言都是比较陌生的,目前国内DSA市场基本都是进口品牌主导,国内能生产这种医疗设备的屈指可数,也就是说,目前我们在医院看到的DSA设备基本都来自"GPST"等进口厂商…

python tkinter下载器_下载小说还要去找网站?Python使用tkinter打造一个小说下载器...

前言今天教大家用户Python GUI编程——tkinter 打造一个小说下载器,想看什么小说,就下载什么小说先看下效果图Tkinter 是使用 python 进行窗口视窗设计的模块。Tkinter模块("Tk 接口")是Python的标准Tk GUI工具包的接口。作为 python 特定的GU…

python while循环if_20170403Python控制流if、while、for语句学习

控制流if、while、for语句学习if elif else语句if语句是一种最常见的控制流语句类型。它用于判断一个条件,如果为True,则执行紧跟其后的代码块。一条if语句可以跟上一个或多个elif块以及一个“滴水不漏”的else块(如果所有条件都为False)。if ... :Print…

审计日志_Oracle审计日志过大?如何清理及关闭审计机制?

概述oracle 11g推出了审计功能,但这个功能会针对很多操作都产生审计文件.aud,日积月累下来这些文件也很多,默认情况下,系统为了节省资源,减少I/0操作,其审计功能是关闭的。这段时间发现审计占了比较多空间&…

windows7 python 指定源组播 10049_Python3组播通信编程实现教程(发送者+接收者)

一、说明1.1 标准组播解释通信分为单播、多播(即组播)、广播三种方式单播指发送者发送之后,IP数据包被路由器发往目的IP指定的唯一一台设备的通信形式,比如你现在与web服务器通信就是单播形式广播指发送者发送之后,IP数据包被路由器发给与其连…

servlet如何使用session把用户的手机号修改_SpringBoot源码学习系列之嵌入式Servlet容器...

1、前言简单介绍SpringBoot的自动配置就是SpringBoot的精髓所在;对于SpringBoot项目是不需要配置Tomcat、jetty等等Servlet容器,直接启动application类既可,SpringBoot为什么能做到这么简捷?原因就是使用了内嵌的Servlet容器&…

mybatisplus新增返回主键_第17期:索引设计(主键设计)

表的主键指的针对一张表中的一列或者多列,其结果必须能标识表中每行记录的唯一性。InnoDB 表是索引组织表,主键既是数据也是索引。主键的设计原则1. 对空间占用要小上一篇我们介绍过 InnoDB 主键的存储方式,主键占用空间越小,每个…

mysql 集群与主从_Mysql集群和主从

1、Mysql cluster: share-nothing,分布式节点架构的存储方案,以便于提供容错性和高性能。需要用到mysql cluster安装包,在集群中的每一个机器上安装。有三个关键概念:Sql节点(多个),数据节点(多个),管理节点(一个)&…

python四则运算_四则运算 python

java转换json需要导入的jar包,org/apache/commons/lang/exception/NestableRuntimeException缺少相应jar包都会有异常,根据异常找jar包导入...... 这里我说下lang包,因为这个包我找了好半天: 我用的是: commons-lang…

mysql 字段排重_MySQL 根据单个、多个字段排重

情景是这样的 首先我们业务需要 在一张流水表中需要进行流水的记录 这个记录是从别的平台拉过来的数据 但是他们数据无唯一约束 即流水这样就很有可能出现单条数据重复的问题所以这种情况 用join的话 效率可能不是很大 所以就写了以下sql注意 排重后还需保留一个唯一有效的记录…

python开发框架 代码生成_我的第一个python web开发框架(31)——定制ORM(七)...

几个复杂的ORM方式都已介绍完了,剩下一些常用的删除、获取记录数量、统计合计数、获取最大值、获取最小值等方法我就不一一详细介绍了,直接给出代码大家自行查看。1 #!/usr/bin/env python2 #codingutf-834 from common importdb_helper567 classLogicBa…

mysql里边字符函数_mysql函数(一.字符函数)

一.字符函数1.LENGTH(str)字符长度函数:一个汉字为三个字符(1)查看某字符串的长度(比如名字)select LENGTH(sunchuangye); 结果:11(2)根据字符长度进行倒序(比如名字)select id,userName FROM t_user ORDER BY LENGTH(userName) DESC;2.CONCAT(str1,s…

redis缓存原理与实现_基于Redis实现范围查询的IP库缓存设计方案

点击上方“码农沉思录” 发现更多精彩我先说下结果。我现在还不敢放线上去测,这是本地测的数据,我4g内存的电脑本地开redis,一次都没写完过全部数据,都是写一半后不是redis挂就是测试程序挂。可以肯定的是总记录数是以千万为单位…

linux mysql提示1045_linux mysql ERROR 1045

介绍了一下安装MySQL后登陆MySQL时会遇到ERROR 1045 (28000): Access denied for user rootlocalhost (using password: NO) 这个错误,当时不知道真正的原因,搜索了一些网上的资料,测试验证了如何解决这个问题,但是一直不知道具体…