iptables配置实例(请根据自己情况配置)

最新推荐文章于 2025-08-10 11:40:49 发布
最新推荐文章于 2025-08-10 11:40:49 发布
阅读量116 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 后端 awk 网络
原文链接:http://www.cnblogs.com/ly565911158/p/3605230.html
本文详细介绍了在Linux环境下如何配置路由器的高级防火墙,包括内核网络功能设置、防火墙规则建立、双网卡路由器设置、NAT功能实现以及后端服务器访问规则等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#!/bin/bash
#变量定义,请根据自己的情况定义变量的内容
EXTIF="eth0"                                                                               #linux router对外IP,即public ip
INIF="eth1"                                                                              #linux router对内IP,即private ip
INNET="192.168.2.0/24"                                                           #linux router所在LAN的IP段
export EXTIF INIF INNET


#针对本机的防火墙进行设置
#1.先设置好内核的网络功能
echo "1" > /proc/sys/net/ipv4/tcp_syncookies                                 #避免SYN 阻断式攻击
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts            #取消ping broadcast的回应

for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians};do            #内核的一些简单设定:逆向路由过滤、记录不合法的IP来源>/var/log/messages
echo "1" > $i
done

#for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,\
# send_redirects};do
# echo "0" > $i
#done

#2.清除规则,设置默认策略及开放lo与相关设置值
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin;
export PATH
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#3.启动额外的防火墙script
if [ -f /usr/local/virus/iptables/iptables.deny ];then                                #自己创建/usr/local/virus/iptables/iptables.deny阻挡恶意IP
sh /usr/local/virus/iptables/iptables.deny
fi
if [ -f /usr/local/virus/iptables/iptables.allow ];then                                #自己创建/usr/local/virus/iptables/iptables.allow设置允许访问的IP
sh /usr/local/virus/iptables/iptables.allow
fi
if [ -f /usr/local/virus/httpd-err/iptables.http ];then
sh /usr/local/virus/httpd-err/iptables.http
fi

#4.允许某些类型的ICMP数据包进入
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
done

#5.允许某些服务的进入,依照自己的环境开启
iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT       #FTP
iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j ACCEPT       #SSH
iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT       #SMTP
iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT       #DNS
iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT       #DNS
iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT       #WWW
iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j ACCEPT     #HTTPS
iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j ACCEPT     #POP3
iptables -A INPUT -p TCP -i $EXTIF --dport 445 --sport 1024:65534 -j ACCEPT     #smbd
iptables -A INPUT -p TCP -i $EXTIF --dport 139 --sport 1024:65534 -j ACCEPT     #smbd

#针对后端主机的防火墙设置
#1.先加载一些有用的模块
modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack
ip_conntrack_ftp ip_conntrack_irc"
for mod in $modules
do
testmod=` lsmod | grep "^${mod} " | awk '{print $1}'`
if [ "$testmod" == "" ];then
modprobe $mod
fi
done
#2.清除NAT table的规则
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#3.双网卡且开放成为路由器同时有IP分享的功能
if [ "$INIF" != "" ];then
iptables -A INPUT -i $INIF -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
if [ "$INIF" != "" ];then
for innet in $INNET
do
iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
done
fi
fi
#4.NAT服务器后端LAN内对外服务器的访问
iptables -t nat -A PREROUTING -p tcp i $EXTIF --dport 80\
-j DNAT --to-destination 192.168.2.4:80
iptables-save

转载于:https://www.cnblogs.com/ly565911158/p/3605230.html

基于iptables的Docker网络隔离与通信详解
成长的足迹
03-27 2万+
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络。位于不同网络中的容器,彼此之间是无法通信的。Docker容器的跨网络隔离与通信,是借助了iptables的机制。 我们知道,iptables的filter表中默认划分为IPNUT, FORWARD和OUTPUT共3个链,详情参考 iptables及其过滤规则。Docke...
iptables入门教程--设置静态防火墙(z)来自www.linuxsir.org 作者liweioop
bon_jovi的专栏
08-19 2062
iptables入门教程--设置静态防火墙发布时间:2005年5月30日 10时36分介绍:这篇文章是本人原创,向读者展示了如何一步一步建立静态防火墙来保护您的计算机,同时在每一步中,我力图向读者讲述清楚原理。在这篇教程之后,你将能理解到防火墙内在过滤机制,同时也能自己动手创建符合自己要求的防火墙。版权所有,转载注明来自www.linuxsir.org 并写明作者liweioop1、iptabl
Iptables的常用防火墙配置方法
litwhy的专栏
04-28 857
本脚本环境为eth0外网,eth1内网; #!/bin/sh #外网网卡 EXT_IF="eth0" FW_IP="61.137.85.21"   #内网网卡 INT_IF="eth1" LAN_IP="192.168.0.1" LAN_IP_RANGE="192.168.0.0/255.255.255.0"   #加阅模块,一般已内建 #Module loading.
iptables规则1
李荣权的专栏--OS--Soft--Life
01-07 1168
  不记得出处了 #!/bin/bashPATH=/sbin:/usr/sbin:/bin:/usr/binRC_SQUID=/etc/rc.d/init.d/squid# 外网EXTIF="eth1"# 内网INTIF="eth0"INNET="192.168.100.1/24"# 针对 NAT & DHCPNATNET="eth2"NTNET="
Nat+Iptables+Squid的脚本
biaoming
12-24 135
#!/bin/bash # 飘飘的风于2003年7月26日修改,端口影射成功。 ###--------------------------------------------------------------------### #以下是定义变数 ###-------------------------------------------------------------------...
iptables设置
rock
12-26 970
1、iptables命令格式 iptables [-t 表] -命令 匹配 操作 (大小写敏感) 动作选项 ACCEPT 接收数据包 DROP 丢弃数据包 REDIRECT 将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务 SNAT ...
iptables配置实例
06-30
iptables配置实例iptables配置实例
iptables配置实例[参考].pdf
10-11
以下是对iptables配置实例的详细解析: 一、链的基本操作 1. 清除规则: 使用`iptables -F`清除预设表filter中所有规则链中的规则。`iptables -X`用于删除用户自定义的链,而`iptables -Z`则重置计数器。 2. ...
iptables配置实例资料.pdf
10-30
iptables配置实例资料.pdf
iptables 设置经典
在水一方
10-19 847
iptables 设置经典2006年10月03日 星期二 22:10  (转注:这篇文章全面而深入的介绍了linux下iptables的使用!强烈推荐)对 于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。 Linux提供了一个非常优秀的防火墙工具?netfilter/iptables。它完全免费、功能强大
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1172
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
linux iptables 配置
erle的专栏
09-18 338
启动指令:service iptables start   重启指令:service iptables restart   关闭指令:service iptables stop
7--企业常用防火墙iptables核心配置讲解
chengonghao的博客
04-26 1528
Iptables基本语法格式:          Iptables[-t table] command chain [critiria] –j action; 1.        1. -t  指定表名,表名就是功能名,iptables共有四种功能:raw、mangle、nat、filter。默认是filter 2.        command:对链中规则进行管理: -A:append,
get求中文字符参数乱码问题
大飞的博客
08-06 181
服务器默认的传参编码格式是ISO8859-1,所以前端直接原样字符串求,到后端解析一下就得到正确字符。例如Tomcat的服务器的server.xml文件中配置编码格式如。
后端】Java 8 特性 Optional 可选类 介绍
最新发布
qq_45974648的博客
08-10 222
Java 8引入的Optional类是一个容器类,用于优雅处理可能为null的值,避免空指针异常。它通过显式处理空值、链式调用替代嵌套检查,提升了代码可读性和健壮性。核心方法包括isPresent()、ifPresent()、orElse()等,支持链式操作如map()、flatMap()和条件过滤。最佳实践建议将其用于方法返回值而非参数或字段,避免直接调用get()。Optional体现了函数式编程思想,能显著减少空指针异常,但不适合替代空集合或作为方法参数。合理使用可使代码更安全简洁。
Postman 如何设置Cookie
ACGkaka的博客
08-08 180
Postman 如何设置Cookie
怎么免费建立自己的网站步骤
weixin_42832157的博客
08-06 243
文章介绍了三种免费建站方案:零基础快速建站、进阶方案及技术向方案,涵盖平台选择、域名注册、托管及技术选型建议。
iptables命令实例配置详解
本文档提供了一些关于iptables命令的实际应用实例,帮助用户理解和掌握其基本操作。 首先,`iptables-L --line-numbers -n` 命令用于列出当前iptables规则表中的所有规则,包括链(chain)、协议(protocol)、源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值