iptables
iptables [-t 表 ] -L -n
查看一张表上的规则
iptables [-t 表 ] -F 清空所有规则
iptables -P 链 动作 设置某个链的默认规则
添加iptables规则
iptables [-t 表] -A 链 匹配的条件 -j 动作
-I -p 协议 ACCEPT 放行
-D -s 源IP地址 DROP 丢弃
-L -d 目的IP地址 REJECT 拒绝
--sport 源端口 DNAT --to-destication 目的地址转换
--dport 目的端口 SNAT --source 源地址转换
iptables -A INPUT -p tcp --dport 80 -j DROP
“堵” 策略,默认规则是“放行”,添加“堵”的规则
“通” 策略 默认规则是“拦截”,添加“放行”规则
示例
在INPUT链拦截80端口
iptables -A INPUT -p tcp --dport 80 -j DROP
在INPUT链放行3306端口
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
通过192.168.189.131访问81端口的放行
iptables -A INPUT -p tcp --dport 81 -d 192.168.189.131 -j ACCEPT
禁ping
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp -j REJECT
在OUTPUT链添加放行源端口为22的请求
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
在OUTPUT链添加放行源IP为192.168.189.161的请求
iptables -I OUTPUT -s 192.168.189.161 -j ACCEPT
在OUTPUT链添加放行源端口为81的请求
iptables -A OUTPUT -p tcp --sport 81 -j ACCEPT
目的地址转换
将访问192.168.189.161 端口为2222的请求转发至10.30.0.128的22端口
iptables -t nat -A PREROUTING -p tcp -d 192.168.189.161 --dport 2222 -j DNAT --to-destination 10.30.0.128:22
源地址转换,所有来自于10.30.0.0/24网段的请求源地址转换为192.168.189.161
iptables -t nat -A POSTROUTING -p tcp -s 10.30.0.0/24 -j SNAT --to-source 192.168.189.161