linux防火墙_第1张图片

对链接中的数据包进行放行
linux防火墙
ESATBLISHED 保持链接 RELATED 建立中产生额外的链接
iptables -I INPUT -p icmp --icmp -type 8 -j DROP 加入这个规则外网平不同内外 内外可以平通外网
加入规则之后ping 不同 icmp 八中规则DORP掉
linux防火墙
没加入规则之前可以ping通
linux防火墙_第2张图片
nat 表应用
linux防火墙_第3张图片
1.增加网卡 选择LAN区段 可以自己添加 相当于连接到一个内网的交换机上 外网链接不上
linux防火墙_第4张图片
2.第二个机器也要添加一块网卡 已经有网卡的不要选择启动时链接!!必须选择同一个区段
linux防火墙_第5张图片
3.配置第一个机器的IP 暂时设置IP 没有配置文件 需要拷贝
linux防火墙_第6张图片
4.另一台机器 设置新加网卡IP 内网IP
linux防火墙_第7张图片
5.打开路由 打开端口转发 默认为0
linux防火墙_第8张图片
6.添加规则
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
linux防火墙_第9张图片
7.B机器设置网关 route -n
linux防火墙_第10张图片
8.设置DNS ping 外网
linux防火墙
需求2
想要远程登录2机器 通过1机器跳转到2机器 把2机器的22端口映射成其它端口 访问这个端口就是在访问2机器的22端口
1.打开路由转发 删除之前的规则
linux防火墙_第11张图片
2.添加规则
1.PREROUTING 进来的包 目标IP 端口 1122 转发到 目的IP 端口 从130的包转到100
linux防火墙
2.回来来的包 IP 从100.100回来的包 经过SNAT to 源IP 从100回来的包转到源IP 130
linux防火墙
3.添加网关2
linux防火墙
4.新建会话 映射的端口
linux防火墙_第12张图片
5.链接外网
linux防火墙
6.w 产看用户
linux防火墙
iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP 拒绝一个网段的数据链接
iptables限制syn速度
原理,每5s内tcp三次握手大于20次的属于不正常访问。

  1. iptables -A INPUT -s ! 192.168.0.0/255.255.255.0 -d 192.168.0.101 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name httpuser --rsource
  2. iptables -A INPUT -m recent --update --seconds 5 --hitcount 20 --name httpuser --rsource -j DROP

其中192.168.0.0/255.255.255.0 为不受限制的网段, 192.168.0.101 为本机IP。
该iptables策略,可有效预防syn***,也可以有效防止机器人发垃圾帖。