LInux_iptables防火墙

一.权限设定

[[email protected] ~]# systemctl stop firewalld

[[email protected] ~]# systemctl disable firewalld

[[email protected] ~]# systemctl start iptables.service

[[email protected] ~]# systemctl enable iptables.service

[[email protected] ~]# iptables -nL##查看iptables的规则信息

[[email protected] ~]# iptables -F##刷新iptables的信息

[[email protected] ~]# service iptables save##将iptables信息保存在/etc/sysconfig/iptables

[[email protected] ~]# cat /etc/sysconfig/iptables

-t 指定表名称

-n 不做解析

-L 列出指定表中的策略

-A 添加表中的策略

-p 网络协议

--dport 端口

-s 数据来源

-j 动作

ACCEPT 允许
REJECT 拒绝
DROP 丢弃

二.iptables规则的更改

iptables -t filter -nL ##查看filter表的策略

iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源

iptables -A INPUT -p tcp --dport 80 -j REJECT ##设置拒绝80端口

iptables -D INPUT 2 ##删除INPUT链中的第二条策略

iptables -D INPUT -p tcp --dport 80 -j REJECT##允许删除接入80端口的策略

iptables -R INPUT 1 -s 172.25.254.216-p tcp --dport 80 -j ACCEPT ##修改第一条策略

三.filter表中的常规配置

iptables -N westos ##增加链westos

iptables -E westos WESTOS## 改变链名称

iptables -X WESTOS ##删除WESTOS

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT##允许RELATED,ESTABLISHED通过

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 326 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT

iptables -A INPUT -j REJECT

##该策略第一次通过后状态变为RELATED或ESTABLISHED，此后访问时直接通过iptables，不会给iptables带来访问压力

四.端口转换

将desktop设定为两个网卡

将server设定ip.网关

五.地址伪装

[[email protected] ~]# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-dest 172.25.0.216##设置将真机从服务端eth1进去的数据伪装成数据源为172.25.0.216