蔡妈看看

我们不是代码的搬运工,我们只生产代码

iptables 防火墙配置

iptables控制

标签(空格分隔): Linux


###并发访问测试

-n 总请求数数 -c每次并发数量
ab -n 1000000 -c 40 http://10.0.0.253/test.txt

###netfilter和iptables关系

《iptables 防火墙配置》

###iptables的四张表和五条链
四张表

filter表、nat表、mangle表、raw表

五条链

INPUT OUTPUT FORWARD PREOUTING POSTROUTING

###数据包在filter和nat中的流向

《iptables 防火墙配置》

###iptables规则组成
《iptables 防火墙配置》

参数介绍
table 参数
-t 指定是filter规则还是nat规则
command 参数
-A 最后追加一条规则
-D 删除规则
-L 查看当前iptables规则
-F 清空所有规则
-P 设置默认规则
-I 插入规则(默认第一条)
-R
-n 和-L类似,隐藏一些规则
chain 参数(用于设置五条链)

Parameter & Xmatch 参数
-p 协议类型
-s 发起地址
-d 目标地址
–sport 发起源端口
–dport 目标源端口
-m tcp state multiport对之前的参数进行补充
target 参数
-j ACCEPT DROP REJECT DNAT SNAT 规则控制

###添加端口

iptables -I INPUT -p tcp -dport 22 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT

端口扫描

nmap -sS -p 0-1000 10.0.0.253

###iptables 存在问题
####设置允许回环网卡

iptables -I INPUT -i lo -j ACCPET

####允许访问外部主机

iptables -I INPUT -m state --state ENTABLISHED,RELATED -j ACCEPT

###允许指定主机访问

iptables -D INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -s 10.0.0.252 --dport 80 -j ACCEPT

###FTP 主动与被动

主动模式

  • ftp默认是被动,需要开启主动
  • 配置
port_enable=yes
connect_from_port_20=yes
  • iptables开启21端口
iptables -I INPUT -p tcp --dport 21 -j ACCEPT

ftp客户端使用主动模式

关闭被动模式使用主动模式
passive

FTP被动配置

  • 方法一(开放高端口)
    pasv_min_port=50000
    pasv_max_port=60000

  • 方法二(使用连接追踪模块)

###iptables 防火墙nat表规则

vim /etc/sysctl.conf
sysctl -p
#将192.168.100.0网段的数据包转发到10.0.0.254网卡上
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to 10.0.0.254

###iptables 端口转发

iptables -t nat -A PREROUTING -d 192.168.100.254 -p tcp --dport 80 -j DNAT --to 10.0.0.253:80
#可能需要配置路由转发
点赞

发表评论