iptables防火墻(二)
阿新 • • 發佈:2018-02-06
art star save fig str filter tput 1.10 功能 1、SNAT:源地址轉換
實現內網訪問外網,修改源IP地址,使用POSTROUTING
命令:iptables?-t nat -A ?POSTROUTING -s 192.168.1.0/24
-j SNAT --to-source 202.1.1.1
2、MASQUERADE:地址偽裝
適用於外網IP地址非固定的情況
將SNAT規則改為MASQUERADE即可
命令:iptables -t nat -A PREROUTING -s 192.168.1.0/24?-j?MASQUERADE
3、DNAT:目標地址轉換
實現發布公司內部服務器,修改目標地址,使用PREROUTING: iptables -t?nat -A?PREROUTING?-d?202.1.1.1 -p?tcp --dport?8080?-j
4、備份和還原規則:
備份:1)iptables-save?>?文件
導出到指定文件
2)service?iptables save
導出到etc/sysconfig?iptables
重啟自動加載
還原:1)iptables-restore?<?文件名
2)service?iptables?restart
從默認文件/etc/sysconfig/iptables還原
5、iptables腳本編寫
1)定義變量
2加載必要的模塊
modprobe?ip_nat_ftp ftp地址轉換模塊modprobe?ip_conntrack_ftp ftp連接狀態跟蹤
3)調整內核參數:
啟用內核轉發功能:?有三種方式
4)編寫防火墻的規則
6、防火墻的類型:
主機型防火墻:?針對本機進行保護,使用filter表中的INPUT、OUTPUT鏈
網絡型防火墻:?對內、外網轉發進行保護,使用filter表中FORWARD鏈
實現內網訪問外網,修改源IP地址,使用POSTROUTING
命令:iptables?-t nat -A ?POSTROUTING -s 192.168.1.0/24
-j SNAT --to-source 202.1.1.1
2、MASQUERADE:地址偽裝
適用於外網IP地址非固定的情況
將SNAT規則改為MASQUERADE即可
命令:iptables -t nat -A PREROUTING -s 192.168.1.0/24?-j?MASQUERADE
3、DNAT:目標地址轉換
實現發布公司內部服務器,修改目標地址,使用PREROUTING: iptables -t?nat -A?PREROUTING?-d?202.1.1.1 -p?tcp --dport?8080?-j
4、備份和還原規則:
備份:1)iptables-save?>?文件
導出到指定文件
2)service?iptables save
導出到etc/sysconfig?iptables
重啟自動加載
還原:1)iptables-restore?<?文件名
2)service?iptables?restart
從默認文件/etc/sysconfig/iptables還原
5、iptables腳本編寫
1)定義變量
2加載必要的模塊
modprobe?ip_nat_ftp ftp地址轉換模塊modprobe?ip_conntrack_ftp ftp連接狀態跟蹤
3)調整內核參數:
啟用內核轉發功能:?有三種方式
4)編寫防火墻的規則
6、防火墻的類型:
主機型防火墻:?針對本機進行保護,使用filter表中的INPUT、OUTPUT鏈
網絡型防火墻:?對內、外網轉發進行保護,使用filter表中FORWARD鏈
iptables防火墻(二)