iptables基本概念深入理解

原創 JenterMei 2019-02-22 21:24

iptables解析

一般centos系統(即便是mini版)會默認會安裝iptables rpm包,這個rpm包括了iptables運行時的動態鏈接庫,以及創建規則的命令(iptables/iptables-save/iptables-restore)等等,那麼有此包之後便可以進行端口轉發NAT、過濾filter等規則,默認安裝之iptables rpm包後是沒有任何防火牆規則,即沒有任何防火牆規則限制,通過iptables做規則之後即可生效,並且通過iptables-save可以將規則輸出終端進行查看,但是此種方法重啓後將失效,需要將規則命令寫入開機啓動/etc/rc.local重啓後依然生效,同時加入echo 1 > /proc/sys/net/ipv4/ip_forward ,注意: 需要執行chmod +x /etc/rc.d/rc.local

如果要使用iptables做爲系統的一個服務使用,則同時需要安裝iptables和iptables-services的rpm包,iptables-services的rpm包包括iptables服務的運行文件,默認安裝這兩個包之後便可以使用iptables服務,systemctl start iptables或者service start iptables,服務啓動後默認會生成一些默認的防火牆配置,如默認規則爲INPUT鏈允許icmp和22端口的網絡協議包通過,其他數據包均不能通過(iptables-services-1.4.2的默認規則,其他版本可能有不一樣),可以在/etc/sysconfig/iptables查看到iptables的配置,便可以通過服務去管理iptables的相應規則。
總結爲:只有iptables rpm包的時候也能做nat filter等策略,寫多少,生效多少,規則保存在內和緩衝區,重啓失效,寫入開機啓動則永久生效。有iptables及iptables-service rpm包的時候可以啓動iptables服務,啓動服務後,會有默認配置(默認規則爲INPUT鏈允許icmp和22端口的網絡協議包通過,其他數據包均不能通過)在此默認配置上再自己手動增加再保存,再重啓iptables服務來寫入內核,永久生效,通過服務區管理防火牆規則。

iptables保存規則

iptables-save, service iptables save 作用一樣,只不過iptables-save需要手動指定路徑及文件名,如果不指定文件名,則結果輸出在終端,重啓之後失效,而service iptables save的文件爲/etc/sysconfig/iptables。默認iptables新建的規則保存在規則緩衝區中,用iptables -F 或iptables -X會清空規則緩衝區的內容;如果需要保存則service iptables save,重啓系統或systemctl restart iptables或service restart iptables則永久生效,不保存的話重啓iptables不影響,重啓機器失效,沒有裝iptables-services服務來管理的話需要將緩衝區的策略寫入開機啓動。

iptables恢復規則

iptables-restore, service iptables restore 作用一樣,只不過iptables-restore需要手動指定路徑及文件名,而service iptables restore的文件爲/etc/sysconfig/iptables

實例

iptables做端口轉發 訪問192.168.240.129的22022端口轉發至192.168.240.130的22端口,此種情況下如果不能直接ssh 192.168.240.130,但是可以訪問192.168.240.129,可以通過129做跳板端口轉發去ssh192.168.240.130。
iptables -t nat -A PREROUTING -d 192.168.240.129 -p tcp -m tcp --dport 22022 -j DNAT --to-destination 192.168.240.130:22
// DNAT做端口映射,在192.168.240.129 prerouting鏈上所有發往192.168.240.129 22022的包都轉發至192.168.240.130:22
iptables -t nat -A POSTROUTING -d 192.168.240.130 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.240.129
// SNAT做出口訪問轉發,在POSTROUTING鏈上將來自192.168.240.130:22的包全部從192.168.240.129網卡的POSTROUTING轉發出去

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Linux核心技能与应用

wy53780 2020-04-23 14:02:05

Python與家國天下

豌豆花下貓 2019-02-24 22:22:40

linux上安裝Docker(非常簡單的安裝方法)

幸運券發放 2019-02-24 19:38:01

2019年Java面試-併發容器篇

王知無 2019-02-24 15:12:46

淺淡個人學習嵌入式Linux過程

wx5c317e5b736d2 2019-02-24 13:31:30

DHCP服務原理與搭建(Linux系統+路由器,二選一方案)

wx5c7174443c6f9 2019-02-24 13:23:18

Redis安裝與配置

劉遄 2019-02-24 13:12:51

linux知識寶庫

wbzjacky 2019-02-24 13:12:37

Linux查看CPU和內存使用情況

wbzjacky 2019-02-24 13:12:37

相關Linux安全方面的知識點

slqbj 2019-02-24 13:02:39

忘記了Linux密碼,使用GRUB重新設置

slqbj 2019-02-24 13:02:39

2019重新起航

sharkwu 2019-02-24 12:59:32

Oracle11g 基於linux 6.3下安裝

love壁虎 2019-02-24 12:55:06

Oracle基於Linux 7下的安裝

love壁虎 2019-02-24 12:55:05

CentOS7更換yum源

駙馬葉子 2019-02-23 20:02:48