本文详细介绍了iptables的filter表和nat表的使用案例。在filter表中,展示了如何开放特定端口并限制22端口的IP访问。在nat表的应用中,解释了如何通过A机器的路由转发功能使B机器连接外网,并让C机器能通过A机器直接访问B的22端口。此外,还提供了相关iptables应用的扩展阅读链接。
一、iptables filter表案例
需求:需要把80端口,22端口,21端口放行,但是22端口需要指定一个IP段,只有这个IP段的IP才可以访问到,其他段的一概拒绝
vim /usr/local/sbin/iptables.sh
加入如下内容:
#! /bin/bash
ipt=”/usr/sbin/iptables”
ipt−F
ipt -P INPUT DROP
ipt−POUTPUTACCEPT
ipt -P FORWARD ACCEPT
ipt−AINPUT−mstate–stateRELATED,ESTABLISHED−jACCEPT
ipt -A INPUT -s 192.168.133.0/24 -p tcp –dport 22 -j ACCEPT
ipt−AINPUT−ptcp–dport80−jACCEPT
ipt -A INPUT -p tcp –dport 21 -j ACCEPT
-m state –state 后加这两个状态可让通信更顺畅 RELATED , ESTABLISHED
icmp示例:
可以实现ping通外部机器,但是ping不通本机(你能ping通别人的机器,别人ping不通你的机器)
iptables -I INPUT -p icmp –icmp-type 8 -j DROP
删除规则后可以正常相互ping通:
iptables -I INPUT -p icmp –icmp-type 8 -j DROP
二、iptables nat表应用
场景:
A机器两块网卡eno16777736(172.16.17.70)、eno33554984(172.16.17.100),eno16777736 可以上外网,eno33554984仅仅是内部网络,B机器只有eno33554984(172.16.17.101),和A机器eno33554984可以通信互联。
ifconfig eno33554984 172.xx.xx.xx.x/xx (可直接设置临时的网卡IP,重启后失效)
(1)amolinux-1为A机器,添加第二块网卡,然后重新启动:
(2)amolinux-2 为B机器,添加另一块与A二网卡同一个段的网卡,然后重新启动:
需求1:可以让B机器连接外网
A机器上打开路由转发:
echo “1”>/proc/sys/net/ipv4/ip_forward
A上执行:
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eno16777736 -j MASQUERADE
需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
A上打开路由转发:
A上执行:
iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp –dport 1122 -j DNAT –to 192.168.100.100:22
A上执行:
iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT –to 192.168.133.130
B上设置网关为:192.168.100.1
扩展
1、 iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2、sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3、iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
