最近工作上一个作业用到了iptables命令,主要进行端口映射,在网上查了好多资料,尽管有很多例子,但还是整了好几天才整明白。在这里将学习到的知识总结一下。以下均属个人见解。(有一些是从网络中总结的,不断完善中...)

一、基本知识

(1) iptables简介

iptables是一个Linux下优秀的nat+防火墙工具,iptables操作的是2.4以上内核的netfilter,所以需要linux的内核在2.4以上。其功能性与安全性远远比其前辈ipforward、ipchains强大,iptables大致是工作在OSI七层的二、三、四层。

首先简单介绍一下netfilter的大致工作流程,也就是一个数据包(或者分组,packet),在到达linux的网络接口(网卡)的时候,如何处理这个包。然后再介绍一下如何利用iptables改变或控制这个数据包。

netfilter的内部有三个表吗,分别是filter、nat和mangle。每个表有不同的操作链(Chain)。

filter表中,即起防火墙功能的表,定义了三个Chain,分别是INPUT、FORWARD、OUTPUT(即对包的进入、转发和出进行定义的三个链),对这个filter表的操作是实现防火墙功能的一个重要手段。

nat表(Network Address Translation网络地址翻译),定义了PREROUTING、POSTROUTING、OUTPUT三个链,主要用于实现地址转换和端口转发。

mangle表,是一个自定义表,包括上述的filter和nat表中的各种chains,它可以让我们进行一些自定义的操作。mangle表中的chains存在netfilter对包的处理流程中处于一个比较优先的位置(对此表的了解不多,一般情况我们用不到这个mangle表,在此不做介绍)。

下述图清晰的描绘了netfilter对包的处理流程(摘自网上,不知作者是谁,在此深表敬意!)。

注:详细的解说参见如下文章:

http://blog.csdn.net/xingliyuan22/article/details/9047767

(2)基本操作

①iptables命令启动、停止、重启、保存:

#/etc/init.d/iptables start

#service iptables start

#/etc/init.d/iptables stop

#/etc/init.d/iptables restart

#service iptables restart

#/etc/init.d/iptables save

②其他操作详解见

http://blog.csdn.net/xingliyuan22/article/details/8960917

http://blog.csdn.net/xingliyuan22/article/details/9142891

二、应用

(1)端口映射

前提:一台Linux双网卡计算机IP:192.168.1.2、202.201.1.2,内网有一个Web服务器192.168.1.6

要求:在外网的浏览器输入202.201.1.2:8000访问到192.168.1.6的80Web服务端口

详细配置:

注意:在此之前要打开端口转发服务

/etc/sysctl.conf配置文件的  net.ipv4.ip_forward = 1 默认是0

可以获得root权限修正,也可以用如下命令:

echo "1" > /etc/sysctl.conf/net.ipv4.ip_forward

①清除原有规则

#iptables -F -t nat

#iptables -F -t filter

#/etc/init.d/iptables save

②配置映射规则

#iptables -t nat -A PREROUTING -d 202.201.1.2 -t tcp  --dport 8000 -t tcp -j DNAT -to--destination 192.168.1.6:80

#iptables -t nat -A POSTROUTING -d 192.168.1.6 -p tcp --dport 80 -j SNAT -- to 192.168.1.2

#iptables -A FORWARD -o eth0 -d 192.168.1.6 -p tcp --dport 80 -j ACCEPT

#iptables -A FORWARD -i eth0 -s192.168.1.6 -p tcp --dport 80 -j ACCEPT

#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

③保存,启动服务

#/etc/init.d/iptables save

#service iptables restart

注:在/proc/net/ip_conntrack文件里有包的流向

(2)IP映射

前提:Linux先在一个网卡上追加一个IP地址,Linux上的一个网卡可以有多个IP地址。

LINUX双网卡,IP分别为eth0:192.168.1.2/24、eth1:192.168.2.2/24

要求:将IP:192.168.2.5映射到LINUX上的192.168.1.2上

①追加linux的eth0一个网址

#ip address add 1.1.1.1/30 brd + dev eth0

②iptables配置

#iptables -A FORWARD -s 192.168.12.95 -j ACCEPT

#iptables -A FORWARD -d 192.168.12.95 -j ACCEPT

#iptables -t nat -A PREROUTING -d 202.201.1.2 -j DNAT -to--destination 192.168.1.6

#iptables -t nat -A POSTROUTING -d 192.168.1.6 -j SNAT -- to -source 192.168.1.2

#/etc/init.d/iptables save

#service iptables restart

注:详细的解释参加下述文章:

http://blog.csdn.net/xingliyuan22/article/details/9152323

iptables 小结的更多相关文章

  1. iptables详解(14):iptables小结之常用套路

    不知不觉,已经总结了13篇iptables文章,这些文章中有一些需要注意的地方. 此处,我们对前文中的一些注意点进行总结,我们可以理解为对"常用套路"的总结. 记住这些套路,能让我 ...

  2. Iptables之recent模块小结

    Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全. recent常用参数--name      设定列表名称,即设置跟 ...

  3. iptables中文介绍 、基本使用操作命令(转)

    iptables 命令介绍   原文链接http://www.cnblogs.com/wangkangluo1/archive/2012/04/19/2457072.html iptables防火墙可 ...

  4. iptables 命令介绍

    http://www.cnblogs.com/wangkangluo1/archive/2012/04/19/2457072.html iptables 防火墙可以用于创建过滤(filter)与NAT ...

  5. iptables的实战整理

    一.iptables使用场景:             内网情况下使用:在大并发的情况下不要开iptables否则影响性能 二.iptables出现下面的问题:             在yewufa ...

  6. iptables基础知识

    iptables防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙.如果你是第一 ...

  7. iptables网络安全服务详细使用

    iptables防火墙概念说明 开源的基于数据包过滤的网络安全策略控制工具. centos6.9  --- 默认防火墙工具软件iptables centos7    --- 默认防火墙工具软件fire ...

  8. 【转】iptables 命令介绍

    iptables 防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有 效地管理Linux防火墙.如果你是第 ...

  9. [转帖]Linux 硬件和系统配置查看命令小结

    https://blog.csdn.net/strongwangjiawei/article/details/8208825 转帖了不少 发现自己记住的还是不多.. Linux 硬件和系统配置查看命令 ...

随机推荐

  1. c语言,数组和指针

    概要: 1.普通数组与指针 2.数组指针 3.指针的数组 数组是一个由(同一类型)连续元素组成的预先分配的内存块:指针是一个对任何位置的元素的引用. 数组自动分配空间,但不能重分配或改变大小:指针必须 ...

  2. .NET vs JAVA

    一个同事写一个方案,让我补充下.NET和 JAVA语言的优缺点,以下是我的回复: 老X你好! 我觉得这个问题,本质上不是java和.net两个开发语言方面的比较,单纯从这两个开发语言来讲,部分伯仲,在 ...

  3. 稳定婚姻问题和Gale-Shapley算法(转)

    什么是算法?每当有人问作者这样的问题时,他总会引用这个例子:假如你是一个媒人,有若干个单身男子登门求助,还有同样多的单身女子也前来征婚.如果你已经知道这些女孩儿在每个男孩儿心目中的排名,以及男孩儿们在 ...

  4. 我的Android开发相关文�

    Pro Android学习笔记: Pro Android学习笔记(一一七):Location(3):获取位置更新 2014.8.25 Pro Android学习笔记(一一六):Location(2): ...

  5. 读书与写论文的引导书——leo鉴书60

    我是专科直接考的研究生.在论文写作方面基本能够算是初级.MBA毕业那会儿要写论文,在网上找了不少这方面的书,<论文与治学>是当中之中的一个. 这本那时为应景儿卖的书,成了我之后学习与工作的 ...

  6. poj 百练 2765 八进制小数(精度问题)

    2765:八进制小数 查看 提交 统计 提示 提问 总时间限制:  1000ms  内存限制:  65536kB 描写叙述 八进制小数能够用十进制小数精确的表示.比方,八进制里面的0.75等于十进制里 ...

  7. ASP.NET - (Session)后台登陆时,判断是不是已经登陆,如果不是,跳转回登陆页

    admin(小写):用户输入的账户. password(小写):用户输入的密码. 1.先将用户名和密码,存储到Session会话中. Session["Admin"] = admi ...

  8. Appium 命令行启动配置

    Appium 安装过后,会有图形界面,同样也支持命令行参数的启动和配置 Windws: 在windows 安装配置Appium有三种方式: Node install -g appium .exe文件安 ...

  9. 同一个form里,不管哪个 submit 都是直接提交form表单里的内容

    要达到你的目的,就不能用类型为 submit 的按钮,要用 button,然后加onclick 方法来自定义预处理参数,然后再调用 submit 方法提交表单,比如 <script type=& ...

  10. 根据input 标签取value属性的值

    jrhmpt01:/root/lwp/0526# cat a1.pl use LWP::UserAgent; use DBI; use POSIX; use Data::Dumper; use HTM ...