Archive


Category: 來玩iptables

  • [iptables] iptables開放Multicast

    若無特別設定,iptables是不開放Multicast,開放方法如下 $iptables -A INPUT -m addrtype –dst-type MULTICAST -j ACCEPT這個命令的意思是對接受所有目標位址是MULTICAST位址的請求如果不行的話,檢查下iptables規則清單:$iptables -L -n –line-numbers如果在chain input裡有一行:8 REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited我們要保證MULTICAST的規則在這一條前面,比如插入到第7行:iptables -I INPUT 7 -m addrtype –dst-type MULTICAST -j ACCEPT 另外一個辦法是直接改/etc/sysconfig/iptables,插入一行:-A INPUT -m addrtype –dst-type MULTICAST -j ACCEPT然後$service iptables restart  

  • [iptables] iptables常用規則

    # Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT-A INPUT -i lo -j ACCEPT ## 公司內網 ICMP-A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT ## 公司網段及IDC內網 SSH-A INPUT -m state –state NEW -s  192.168.0.0/24 -m tcp -p […]

  • [iptables] iptables 25個常用的用法

    發現了一篇好文章,該作者造福了iptables的初心者,我將文章轉貼過來,原文是在 http://www.zhanghaijun.com/post/936/ or http://www.thegeekstuff.com/2011/06/iptables-rules-examples/ 一、iptables:從這裡開始 刪除現有規則 iptables -F (OR) iptables –flush 設置默認鏈策略 iptables的filter表中有三種鏈:INPUT, FORWARD和OUTPUT。默認的鏈策略是ACCEPT,你可以將它們設置成DROP。 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 你需要明白,這樣做會遮罩所有輸入、輸出網卡的資料包,除非你明確指定哪些資料包可以通過網卡。 遮罩指定的IP地址 以下規則將遮罩BLOCK_THIS_IP所指定的IP位址訪問本地主機: BLOCK_THIS_IP=”x.x.x.x” iptables -A INPUT -i eth0 -s “$BLOCK_THIS_IP” -j DROP (或者僅遮罩來自該IP的TCP資料包) iptables -A INPUT -i eth0 -p tcp -s “$BLOCK_THIS_IP” -j DROP 允許來自外部的ping測試 iptables -A INPUT -p […]

  • [iptables] iptables針對多數或連續port的語法

    當你在下iptables語法時,有時會踫到多數port或連續port的需求 本文將簡介iptables語法的使用 /sbin/iptables -A INPUT -p tcp -m tcp –dport 21 -j DROP  ##不讓 TCP 21 port 進入/sbin/iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP  ##不讓 TCP 22 port 進入/sbin/iptables -A INPUT -p tcp -m tcp –dport 80 -j DROP  ##不讓 TCP 80 port 進入 基本語法如上所列,三條解決,但如果今天我們要針對來源IP設限呢?? /sbin/iptables -A INPUT -s 1.1.1.0/24 -p […]

  • [iptables] Linux系統四步驟設定NAT

    本例假設NAT主機有二個網路介面,對外為 eth1 對內為 eth0 1. 將ipforward設定為開啟 echo 1 > /proc/sys/net/ipv4/ip_forward 2. 對外eth1可NAT /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 3. 設定iptables可接受從eth1進來到eth0的流量狀態 /sbin/iptables -A FORWARD -i eth1 -o eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT 4. 設定iptables可轉eth0到eth1所有流量 /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT 設定完,收工!!