火牆之iptables

 iptables簡介   

    IPTABLES 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。若是 Linux 系統鏈接到因特網或 LAN、服務器或鏈接 LAN 和因特網的代理服務器， 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。其中包含三表（filter表，nat表，mangle表）、五鏈（INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING）。

安裝iptables服務

開啓服務，關閉火牆並凍結火牆

 

iptables服務相關命令

  

     -t                 指定表名稱 
    -n                 不做解析
    -L                 列出指定表中的策略
    -A                 增長策略
    -p                 網絡協議
    --dport            端口
    -s                 數據來源
    -j                 動做
    ACCEPT             容許
    REJECT             拒絕
    DROP               丟棄
    -N                 增長鏈
    -E                 修改鏈名稱
    -X                 刪除鏈
    -D                 刪除指定策略
    -I                 插入
    -R                 修改策略
      -P                 修改默認策略

列出表中的策略，而且作解析

 

列出表中的信息，不作解析

 

列出filter表中的策略，不作解析

列出nat表中的策略，不作解析

 

刷掉表中的全部策略，沒指明哪張表時默認filter表

sercive iptables save     ##保存iptables指令

iptables -A INPUT -i lo -j ACCEPT #容許lo接口數據

iptables -A INPUT -j REJECT         #拒絕全部接口數據

iptables -A INPUT -s 172.25.254.25 ACCEPT ##容許25這臺主機訪問

 

用25鏈接125，卻發現沒法鏈接，緣由是系統讀表中的策略時，是從上到下依次讀取，若是第一條不匹配，就會讀第二條，以此類推，知道讀到匹配的，後面的策略就再也不讀，若是全部的都不匹配，就根據默認策略執行

iptables -D INPUT 2               ##刪除第二條策略

在第一條的位置添加拒絕25主機訪問80端口的策略

修改第一條策略爲容許

添加一個名爲westos的表

改westos爲redhat

刪除名爲redhat的表

刷掉表中的全部策略

iptables假裝和端口裝換

給服務端增長一塊網卡eth1，並設置IP

重啓網絡，查看設置結果

客戶端的配置

設置IP，與服務端的eth1在同一網段，網關爲eth0的ip

 

測試，能夠ping通服務端

 

測試，不能ping通真機，不在同一網段

 

查看nat表的策略

 

設置從客戶端到從服務端eth0出去的數據假裝成源數據爲172.25.254.125

 

內核路由轉發功能表

 

須要寫入到/etc/sysctl.conf文件中去，從新啓動才能生效

 

查看加載的策略

測試，能夠ping通真機

設置將真機從服務端eth0進去的數據假裝成源數據爲172.25.25.225

 

用客戶機鏈接真機，真機查看遠程登錄本身的主機時，會顯示爲服務機的ip