iptables规则、路由表配置、虚拟IP创建常用操作

一、iptables规则

1.查看iptables设置

[root@localhost ~] iptables -L   #查看iptables设置
Chain INPUT (policy ACCEPT)          #没有任何设置
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination     

2.开启全部流量

[root@localhost ~] iptables -P INPUT ACCEPT
[root@localhost ~] iptables -P FORWARD ACCEPT
[root@localhost ~] iptables -P OUTPUT ACCEPT

上述命令将全部流量允许通过防火墙。

3.关闭全部流量

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

上述命令将防火墙关闭，不允许任何流量通过。

4.允许某个端口的流量通过

iptables -A INPUT -p tcp --dport port_number -j ACCEPT

其中 `port_number` 为需要允许的端口号。

5. 阻止某个 IP 地址的流量：

iptables -A INPUT -s ip_address -j DROP

其中 `ip_address` 为需要阻止的 IP 地址。

6. 允许某个 IP 地址的流量：

iptables -A INPUT -s ip_address -j ACCEPT

其中 `ip_address` 为需要允许的 IP 地址。

iptables 还有很多其它的选项和用法，这里只列举了一些常用的。如果需要更多帮助，可以查看官方文档或者使用 `man iptables` 命令查看帮助手册。

清空所有iptables规则

在配置iptables之前，你通常需要用iptables --list命令或者iptables-save命令查看有无现存规则，因为有时需要删除现有的iptables规则：

iptables --flush

或者

iptables -F

下面命令是清除iptables nat表规则。

iptables -t nat -F

永久生效

当你删除、添加规则后，这些更改并不能永久生效，这些规则很有可能在系统重启后恢复原样。如下配置让配置永久生效。

# 保存iptables规则

service iptables save

# 重启iptables服务

service iptables stop

service iptables start

查看当前规则：

cat  /etc/sysconfig/iptables

路由表的配置

在 Linux 系统中，可以使用 `ip` 命令来配置路由表。具体步骤如下：

1. 查看当前路由表：

ip route show

2. 添加一条路由规则，例如将所有目的地址为 192.168.1.0/24 的数据包通过网关 192.168.0.1 发送：

ip route add 192.168.1.0/24 via 192.168.0.1

3. 删除一条路由规则，例如删除上文中添加的 192.168.1.0/24 路由规则：

ip route del 192.168.1.0/24

4. 使用 `ip` 命令配置默认路由：

ip route add default via

其中 `` 指网关 IP 地址。

5. 手动配置一条静态路由：

ip route add / via

其中 `` 是要访问的网络， `` 是网络掩码， `` 是网关 IP 地址。

6. 永久保存路由设置：

如果希望设置的路由永久有效，可以将路由规则添加到 `/etc/network/interfaces` 文件中。

例如，要永久添加一条路由规则，可以编辑 `/etc/network/interfaces` 文件，在文件末尾添加以下内容：

up ip route add / via

保存文件后，使用以下命令重启网络：

sudo systemctl restart networking

以上是一些常见的 Linux 配置路由的方法，但实际操作还应根据具体场景和需求进行配置。

Linux下创建虚拟IP

在 Linux 中，可以使用 `ip` 命令来创建虚拟 IP 地址，具体步骤如下：

1. 查看当前网络接口：

ip a

可以看到当前系统的网络接口列表。

2. 创建虚拟网卡：

可以使用以下命令创建一个虚拟网卡，例如 eth0:0：

sudo ip link add name eth0:0 link eth0 type macvlan mode bridge

3. 给虚拟网卡分配 IP：

可以使用以下命令给虚拟网卡分配 IP 地址，例如 192.168.0.100：

sudo ip addr add 192.168.0.100 dev eth0:0

4. 启动虚拟网卡：

使用以下命令启动虚拟网卡：

sudo ip link set eth0:0 up

完成以上步骤后，可以使用 `ip a` 命令查看当前系统的网络接口，应该能看到新创建的虚拟网卡和 IP 地址。

如果需要永久保存虚拟 IP，可以将创建虚拟网卡和分配 IP 地址的命令添加到 `/etc/network/interfaces` 文件中，并重启网络服务。

需要注意的是，虚拟 IP 地址只在当前系统上有效，在网络中传递的数据包并不会使用虚拟 IP。如果需要在网络中使用虚拟 IP，还需要在网络路由中进行配置。