• iptables 补充

    REJECT

    --reject-with icmp-host-unreachable # 当不设置任何值时,默认值为icmp-port-unreachable。
# 其他可选项
icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-pro-hibited
icmp-admin-prohibited

    LOG

    --log-level # 选项可以指定记录日志的日志级别,可用级别有emerg,alert,crit,error,warning,notice,info,debug。
--log-prefix# 选项可以给记录到的相关信息添加"标签"之类的信息,以便区分各种记录到的报文信息,方便在分析时进行过滤。
# 配置iptables日志文件
vim /etc/rsyslog.conf
kern.waring /var/log/iptables.log
service rsyslog restart # 服务重启后,配置即可生效,iptables的日志就存入/var/log/iptables.log中

    NAT表

    echo 1 > /proc/sys/net/ipv4/ip_forward # 开启内核转发
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.10.10.1
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -I PREROUTING -d 10.10.10.1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

    RAW表

    # 访问22端口增加不追踪标识
iptables -t raw -I PREROUTING -p tcp --dport 22 -j NOTRACK
iptables -t raw -I OUTPUT -p tcp --dport 22 -j NOTRACK

    自定义链

    iptables -t table -N chain_name # 创建自定义链
iptabels -t table -E chain_name # 重命名自定义链
iptables -t table -X chain_name # 删除自定义链(前提是没有被引用且没有规则)
iptables -t table -A|-I chain match_expression -j chain_name # 引用自定义链

iptables -t filter -N VM_FIREWARD
iptables -t filter -I VM_FIREWARD -p tcp -m multiport --dports 22,80,8080 -j ACCEPT
iptables -t filter -I VM_FIREWARD -m conntrack --ctstate ESTABLISH,RELATED -j ACCEPT
iptables -t filter -A VM_FIREWARD -p icmp -j ACCEPT
iptables -t filter -I INPUT -j VM_FIREWARD # 引用VM_FIREWARD链
iptables -t filter -P INPUT DROP

    保存与恢复

    保存规则:# iptables-save > /etc/sysconfig/iptables
恢复规则:# iptables-restore < /etc/sysconfig/iptables
若想开机自动启用脚本,则可以使用以下命令放到系统初始化Shell脚本/etc/rc.d/rc.local中
# echo '/sbin/iptables-restore /etc/sysconfig/iptables' >> /etc/rc.d/rc.local
# chmod a+x /etc/rc.d/rc.local

     

    流量分析思路(不考虑mangle和raw表)

    # 本机流入流量(由本机上层处理):
iptables -t nat -nL PREROUTING  //经过nat表的PREROUTING链
route -n                        //查询本机路由表
iptables -t filter -nL INPUT    //经过filter表的INPUT链

# 本机转发流量:
iptables -t nat -nL PREROUTING  //经过nat表的PREROUTING链
route -n                        //查询本机路由表
iptables -t filter -nL FORWARD  //经过filter表的FORWARD链
iptables -t nat -nL POSTROUTING //经过nat表的POSTROUTING链

# 本机流出流量(由本机上层产生):
iptables -t nat -nL OUTPUT      //经过nat表的OUTPUT链
iptables -t filter -nL OUTPUT   //经过filter表的OUTPUT链
route -n                        //查询本机路由表
iptables -t nat -nL POSTROUTING //经过nat表的POSTROUTING链
  • 相关阅读:
    《Eric带您走近Office 2010》系列专题来啦!
    以人为本 体验至上(二)
    以人为本 体验至上(一)
    操作Static对象的多线程问题
    TroubleShoot:SilverLight中Wcf调用时出现Not Found等错误
    delegate与event的关系说明
    SharePoint对象模型性能考量
    SharePoint自带Silverlight WebPart中文输入问题处理
    关于Wcf事件多次执行的问题
    SharePoint中调试SilverLight程序
  • 原文地址:https://www.cnblogs.com/Wang-Hongwei/p/14659632.html
Copyright © 2020-2023  润新知