您所在位置:主题:分享一些关于iptables的典型事例
小秦0526
[专家分:0] 发布于 2011-11-14 18:07:00
一、常见端口号的一些iptables实例:
1.禁止ssh端口
只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh
#iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP
2.禁止代理端口
#iptables -A INPUT -p tcp --dport 3128 -j REJECT
3.禁止icmp端口
除192.168.62.1外,禁止其它人ping我的主机
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP
或
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
4.禁止QQ端口
#iptables -D FORWARD -p udp --dport 8000 -j REJECT
二、要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:
1. 打开ip包转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:
#iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80
3. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:
#iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
#iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
更详细的信息请链接:[url=http://www.gobenet.net.cn]www.gobenet.net.cn[/url]
1.禁止ssh端口
只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh
#iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP
2.禁止代理端口
#iptables -A INPUT -p tcp --dport 3128 -j REJECT
3.禁止icmp端口
除192.168.62.1外,禁止其它人ping我的主机
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP
或
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
4.禁止QQ端口
#iptables -D FORWARD -p udp --dport 8000 -j REJECT
二、要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:
1. 打开ip包转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:
#iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80
3. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:
#iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
#iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
更详细的信息请链接:[url=http://www.gobenet.net.cn]www.gobenet.net.cn[/url]