iptables 防火墙配置

1946人浏览 / 0人评论

iptables控制

标签(空格分隔): Linux
###并发访问测试
-n 总请求数数 -c每次并发数量
ab -n 1000000 -c 40 http://10.0.0.253/test.txt
###netfilter和iptables关系 此处输入图片的描述 ###iptables的四张表和五条链 四张表
filter表、nat表、mangle表、raw表
五条链
INPUT OUTPUT FORWARD PREOUTING POSTROUTING
###数据包在filter和nat中的流向 此处输入图片的描述 ###iptables规则组成 此处输入图片的描述
参数介绍 table 参数 -t 指定是filter规则还是nat规则 command 参数 -A 最后追加一条规则 -D 删除规则 -L 查看当前iptables规则 -F 清空所有规则 -P 设置默认规则 -I 插入规则(默认第一条) -R -n 和-L类似,隐藏一些规则 chain 参数(用于设置五条链) ... Parameter & Xmatch 参数 -p 协议类型 -s 发起地址 -d 目标地址 --sport 发起源端口 --dport 目标源端口 -m tcp state multiport对之前的参数进行补充 target 参数 -j ACCEPT DROP REJECT DNAT SNAT 规则控制
###添加端口
iptables -I INPUT -p tcp -dport 22 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT

端口扫描

nmap -sS -p 0-1000 10.0.0.253
###iptables 存在问题 ####设置允许回环网卡
iptables -I INPUT -i lo -j ACCPET
####允许访问外部主机
iptables -I INPUT -m state --state ENTABLISHED,RELATED -j ACCEPT
###允许指定主机访问
iptables -D INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -s 10.0.0.252 --dport 80 -j ACCEPT
###FTP 主动与被动

主动模式

  • ftp默认是被动,需要开启主动
  • 配置
port_enable=yes
connect_from_port_20=yes
  • iptables开启21端口
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
ftp客户端使用主动模式
关闭被动模式使用主动模式
passive

FTP被动配置

  • 方法一(开放高端口) pasv_min_port=50000 pasv_max_port=60000

  • 方法二(使用连接追踪模块)

###iptables 防火墙nat表规则

vim /etc/sysctl.conf
sysctl -p
#将192.168.100.0网段的数据包转发到10.0.0.254网卡上
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to 10.0.0.254
###iptables 端口转发
iptables -t nat -A PREROUTING -d 192.168.100.254 -p tcp --dport 80 -j DNAT --to 10.0.0.253:80
#可能需要配置路由转发