还是老规矩,先上训练题,再上补充知识要点。
训练题
Centos6-Iptables 训练:
1.iptables本地eth0 80 转8080 端口
iptables-i eth0 -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 8080
2.修改默认策略,只能安全上网,不允许其他流量进入主机
iptables-t nat -p INPUT DROP
iptables-p INPUT DORP
3.iptables安全脚本样例
iptables -p INPUTDORP
iptables -p OUTPUTACCEPT
iptables –P FORWARDACCEPT
iptables –t nat -p PRROUTING ACCEPT
iptables -t nat -p POSTROUTING ACCEPT
iptables –t nat -p OUTPUT ACCEPT
4.安全脚本,只开放192.168.0.128 主机 80,22 端口;
iptables-i eth0 -A INPUT -p tcp --dport 80 -j ACCEPT
5. 通过MASQUERADE设定来源于10.10.6.0网段的IP通过网卡eth0转发出去
iptables -tnat -A POSTROUTING -s 10.10.6.0/24 -j MASQUERADE -o eth0
6. 拒绝来自192.168.120.0/24网段的访问
iptables -A INPUT -s 192.168.120.0/24 -j DROP
7. 设定ICMP包,状态为8的被DROP掉
iptables -A INPUT-m state --stateESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
8. 通过SNAT设定来源于192.168.6.0网段通过eth1转发出去
iptables -tnat -A POSTROUTING -s 192.168.6.0/24 -j SNAT -o eth0 --to-source 192.168.1.217
9.定义清理默认策略,一般用于脚本第一部分:
Iptables –F
Iptables –Z
Iptables –X
Centos7-Firewall 训练:
2.要点补充
Centos6-Iptables要点:
三表五链
filter表包含INPUT,OUTPUT ,FORWARD链(默认表)
nat 表 包含PREROUTING,OUTPUT,POSTROUTING 链(nat 表时 就不能有INPUT链)
mangle表包含5条链。
PREROUTING用于修改目的地址(DNAT)
POSTROUTING链用于修改源地址(SNAT)
自定义策略的样式:
iptables -i 网卡名称 -A|D|I|R 链名 -t 表名 –p 协议类型 –s 源地址 -d 目的地址 –sport 源端口 –dport 目的端口 -j 动作ACCEPT|DROP|REDIRECT|REJECT|SNAT|DNAT|MASQUERADE|LOG
默认策略的样式:
Iptables -t 表名 –p 链名 <动作>
清除策略:
Iptables–t 表名–F|Z
开启系统的路由功能
echo"1" > /proc/sys/net/ipv4/ip_forward
默认保存Iptables 规则位置:
/etc/sysconfig/iptables
Centos7-Firewall要点: