小时玩转 iptables 企业版.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * 7.實戰.2 CU: 0 54(eth1) 54(eth0) client: web server: 54 (eth2) * 7.實戰.2－參考答案 CU: ifconfig eth0 0 netmask Server: ifconfig eth0 netmask route add default gw 54 Client: ifconfig eth0 netmask route add default gw 54 Firewall: ifconfig eth0 54 netmask ifconfig eth1 54 netmask ifconfig eth2 54 netmask service iptables stop modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP iptables -t nat -A POSTROUTING -s /24–o eth0 -j SNAT --to 54 iptables -t nat -A PREROUTING -d 54 -p tcp -dport 80 -j DNAT --to iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW -j DROP * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.4動作（處理方式） ACCEPT DROP SNAT DNAT MASQUERADE * 3.4.1 -j ACCEPT -j ACCEPT 通過，允許資料包通過本鏈而不攔截它 類似Cisco中ACL裡面的permit 例如： iptables -A INPUT -j ACCEPT 允許所有訪問本機IP的資料包通過 * 3.4.2 -j DROP -j DROP 丟棄，阻止資料包通過本鏈而丟棄它 類似Cisco中ACL裡的deny 例如： iptables -A FORWARD -s 9 -j DROP 阻止來源地址為9的資料包通過本機 * 3.4.4 -j DNAT -j DNAT --to IP[-IP][:埠-埠]（nat 表的PREROUTING 鏈） 目的地址轉換，DNAT支援轉換為單IP，也支援轉換到IP位址集區 （一組連續的IP地址） 例如： iptables -tnat -APREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to 把從ppp0進來的要訪問TCP/80的數據包目的地址改為 iptables -tnat -APREROUTING -i ppp0 -p tcp --dport 81 \ -j DNAT --to :80 iptables -tnat -APREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to -0 * 3.4.3 -j SNAT -j SNAT --to IP[-IP][:埠-埠]（nat 表的POSTROUTING鏈） 源位址轉換，SNAT支援轉換為單IP，也支援轉換到IP位址集區 （一組連續的IP地址） 例如： iptables -t nat -A POSTROUTING -s /24 \ -j SNAT --to 將內網/24的原地址修改為，用於NAT iptables -t nat -A POSTROUTING -s /24 \ -j SNAT --to -0 同上，只不過修改成一個位址集區裡的IP * 3.4.5 -j MASQUERADE -j MASQUERADE 動態源位址轉換（動態IP的情況下使用） 例如： iptables -tnat -APOSTROUTING -s /24 -j MASQUERADE 將源地址是/24的資料包進行位址偽裝 * 3.5附加模