运维进阶——iptables详解
iptables
先将双网卡的desktop的firewalld关闭,并锁定
[root@dektop ~]# systemctl stop firewalld
[root@dektop ~]# systemctl mask firewalld
ln -s '/dev/null' '/etc/systemd/system/firewalld.service'
[root@dektop ~]#
iptables基本操作命令一览
iptable
-t ##指定表名称
-n ##不作解析
-L ##列出指定表中的策略
-A ##增加策略
-p ##网络协议
--dport ##端口
-s ##数据来源
-j ##动作
ACCEPT ##允许
REJECT ##拒绝
DROP ##丢弃
-N ##增加链
-E ##修改链名称
-X ##删除链
-D ##删除指定策略
-I ##插入
-R ##修改策略
-P ##修改默认策略
iptables -t filter -nL #查看filter表中的策略 -t 后面不跟表名的话,默认为filter表
iptable -F #刷掉filter表中的所有策略,当没有用-t指定表名称>时默认时filter
service iptables save #保存当前策略 保存在了/etc/sysconfig/iptables里
iptables -A INPUT -i lo -j ACCEPT #允许lo
iptables -A INPUT -p tcp --dport 22 -j ACCEPT ##允许访问22端口
iptables -A INPUT -s 172.25.254.250 -j ACCEPT ##允许250主机访问本机所有端口
iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源
iptables -N redhat ##增加链redhat
iptables -E redhat westos ##改变链名称
iptables -X westos ##删除westos链
iptable -D INPUT 2 ##删除INPUT链中的第二条策略
iptables -I INPUT -p tcp --dport 80 -j REJECT ##插入策略到INPUT中的第一条
iptables -R INPUT 1 -p tcp --dport 80 -j ACCEPT ##修改第一条策略
iptable -P INPUT DROP ##把INPUT表中的默认策略改为drop
命令演示
iptables -t filter -nL 查看filter表,-t不指定的话,默认为filter表
iptables -A INPUT -i lo -j ACCEPT #-A 表示添加 -j 表示动作,允许lo
Iptables -t filter -L -n是不做解析,不带-n是做解析
iptables -A INPUT -p tcp --dport 22 -j ACCEPT ##允许访问22端口 -p表示网络协议
iptables -A INPUT -s 172.25.254.13 -j ACCEPT ##允许250主机访问本机所有端口
iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源
把这条加在允许13主机的所有端口这条策略之后,那么会如何让执行呢,
它会从第一条开始,只要读到匹配项就停止了
还可以连接,说明它读了第一条策略匹配后停止,第二条侧路并美生效
iptables -i INPUT -j REJECT 拒绝所有主机的数据来源,插入到第一条
iptable -D INPUT 3 ##删除INPUT链中的第3条策略
在主机上再测试
iptables -N redhat ##增加链redhat
同样如果不-t指定的话默认是filter表
iptables -E redhat westos ##改变链名称
iptables -X westos ##删除westos链
iptables -R INPUT 2 -j REJECT ##修改第2条策略
iptable -P INPUT DROP ##把INPUT表中的默认策略改为drop
iptable -F #刷掉filter表中的所有策略,当没有用-t指定表名称>时默认时filter
端口转发
[root@dektop ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.213:22
[root@dektop ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:1.1.1.213:22
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
操作和firewalld的作用是一样的,只是通过不同的方式
测试
在真机
[kiosk@foundation13 ~]$ ssh [email protected]
[email protected]'s password:
Last login: Sat Jun 1 01:38:06 2019 from 1.1.1.113
查看ip,是1网段的server虚拟机
地址伪装
[root@dektop ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.113
[root@dektop ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:1.1.1.213:22
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 0.0.0.0/0 0.0.0.0/0 to:172.25.254.113
测试
在server虚拟机
ping 172.25.254.13