iptables控制

标签（空格分隔）： Linux

---

###并发访问测试

-n 总请求数数 -c每次并发数量
ab -n 1000000 -c 40 http://10.0.0.253/test.txt

###netfilter和iptables关系 ###iptables的四张表和五条链 四张表

filter表、nat表、mangle表、raw表

五条链

INPUT OUTPUT FORWARD PREOUTING POSTROUTING

###数据包在filter和nat中的流向 ###iptables规则组成

参数介绍 table 参数 -t 指定是filter规则还是nat规则 command 参数 -A 最后追加一条规则 -D 删除规则 -L 查看当前iptables规则 -F 清空所有规则 -P 设置默认规则 -I 插入规则（默认第一条） -R -n 和-L类似，隐藏一些规则 chain 参数（用于设置五条链） ... Parameter & Xmatch 参数 -p 协议类型 -s 发起地址 -d 目标地址 --sport 发起源端口 --dport 目标源端口 -m tcp state multiport对之前的参数进行补充 target 参数 -j ACCEPT DROP REJECT DNAT SNAT 规则控制

###添加端口

iptables -I INPUT -p tcp -dport 22 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT

端口扫描

nmap -sS -p 0-1000 10.0.0.253

###iptables 存在问题 ####设置允许回环网卡

iptables -I INPUT -i lo -j ACCPET

####允许访问外部主机

iptables -I INPUT -m state --state ENTABLISHED,RELATED -j ACCEPT

###允许指定主机访问

iptables -D INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -s 10.0.0.252 --dport 80 -j ACCEPT

###FTP 主动与被动

主动模式

• ftp默认是被动，需要开启主动
• 配置

port_enable=yes
connect_from_port_20=yes

• iptables开启21端口

iptables -I INPUT -p tcp --dport 21 -j ACCEPT

ftp客户端使用主动模式

关闭被动模式使用主动模式
passive

FTP被动配置

• 方法一(开放高端口) pasv_min_port=50000 pasv_max_port=60000

• 方法二(使用连接追踪模块)

###iptables 防火墙nat表规则

vim /etc/sysctl.conf
sysctl -p
#将192.168.100.0网段的数据包转发到10.0.0.254网卡上
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to 10.0.0.254

###iptables 端口转发

iptables -t nat -A PREROUTING -d 192.168.100.254 -p tcp --dport 80 -j DNAT --to 10.0.0.253:80
#可能需要配置路由转发