还是老规矩,先上训练题,再上补充知识要点。

  1. 训练题

Centos6-Iptables 训练:

1.iptables本地eth0 80 转8080 端口

iptables-i eth0 -A PREROUTING  -t nat   -p tcp --dport 80 -j REDIRECT --to-port 8080

 

2.修改默认策略,只能安全上网,不允许其他流量进入主机

iptables-t nat -p INPUT  DROP 

iptables-p INPUT DORP

 

3.iptables安全脚本样例

 

iptables -p INPUTDORP

iptables -p OUTPUTACCEPT

iptables –P FORWARDACCEPT

iptables –t nat  -p PRROUTING  ACCEPT

iptables  -t nat -p POSTROUTING  ACCEPT

iptables –t nat  -p OUTPUT ACCEPT

 

 

4.安全脚本,只开放192.168.0.128 主机 80,22 端口;

iptables-i eth0 -A INPUT  -p tcp   --dport 80 -j ACCEPT

 

 

 

5. 通过MASQUERADE设定来源于10.10.6.0网段的IP通过网卡eth0转发出去

iptables -tnat  -A POSTROUTING   -s 10.10.6.0/24  -j MASQUERADE -o eth0

 

6. 拒绝来自192.168.120.0/24网段的访问

iptables  -A INPUT  -s 192.168.120.0/24  -j DROP

 

7. 设定ICMP包,状态为8的被DROP

iptables -A INPUT-m state  --stateESTABLISHED,RELATED  -j ACCEPT

iptables -A INPUT   -p icmp --icmp-type 8 -j DROP

 

8. 通过SNAT设定来源于192.168.6.0网段通过eth1转发出去

iptables -tnat  -A POSTROUTING  -s 192.168.6.0/24 -j SNAT  -o eth0 --to-source 192.168.1.217

 

9.定义清理默认策略,一般用于脚本第一部分:

Iptables –F

Iptables –Z

Iptables –X

 

 

 

Centos7-Firewall 训练:

 

 

 

2.要点补充

Centos6-Iptables要点:

三表五链

filter表包含INPUT,OUTPUT ,FORWARD链(默认表)

nat  表 包含PREROUTING,OUTPUT,POSTROUTING 链(nat 表时 就不能有INPUT链)

mangle表包含5条链。

PREROUTING用于修改目的地址(DNAT)

POSTROUTING链用于修改源地址(SNAT)

自定义策略的样式:

iptables  -i 网卡名称  -A|D|I|R 链名  -t 表名 –p  协议类型 –s  源地址  -d 目的地址 –sport 源端口 –dport 目的端口  -j 动作ACCEPT|DROP|REDIRECT|REJECT|SNAT|DNAT|MASQUERADE|LOG

 

默认策略的样式:

Iptables -t 表名 –p  链名   <动作>

 

清除策略:

Iptables–t 表名–F|Z

 

开启系统的路由功能  

 echo"1" > /proc/sys/net/ipv4/ip_forward  

 

默认保存Iptables 规则位置:

/etc/sysconfig/iptables

 

 

 

 

Centos7-Firewall要点: