js333 > 计算机互联网 > 配置iptables实现本地端口转发的方法详解,linux防

原标题:配置iptables实现本地端口转发的方法详解,linux防

浏览次数:63 时间:2019-11-06

3.vpn的急需,公司里面有OA,同期管理人士要经过vpn连接管理服务器。所以建设构造了pptp的vpn

:INPUT ACCEPT [0:0]

iptables -t nat -A PREROUTING -s 10.10.10.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-s 后边接内部互连网,-i eth1 是里面网络接口。那条语句的意思正是,源地址是10.10.10.0/24 网段并且入接口是 eth1,
当访问需要的靶子端口是 tcp80 时就重定向到本机的 3128 代理服务端口上。

将WAN口8000端口NAT到192。168。100。200的80端口
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:80

DHCPDARGS=eth1

设若急需本机也可以访谈,则必要配置OUTPUT链(********特别注意:本机访谈外网的端口会转接到地面,导致访不到外网,如访谈yown.com,实际上是探问到本地,指出不做80端口的转速或许钦赐目标-d localhost):

上边包车型客车命令是只允许来自174.140.3.190的ip访谈服务器上216.99.1.216的80端口
iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP

常用的IPTABLES准绳如下:
唯其如此收发邮件,其余都关门
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT

==========================================================================

iptables -t nat -A OUTPUT -d localhost -p tcp --dport 80 -j REDIRECT --to-ports 8080

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

 

原则:网关服务器装两块网卡 eth0:外网卡 eth1:内网卡

#service iptables restart

-m multiport --ports --dports 多端口 22,25 5:10

封IP段的下令是:
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

2.品质须要,开选取路由器的话要是公司内部职员开启BT等p2p软件,连接数巨多,路由器质量会下落不菲

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

想在服务器运维自运转的话有三个办法:
1、把它加到/etc/rc.local中
2、iptables-save >;/etc/sysconfig/iptables能够把您近年来的iptables法则放到/etc/sysconfig/iptables中,系统运转iptables时自动奉行。
3、service iptables save 也能够把您前段时间的iptables准绳放/etc/sysconfig/iptables中,系统运行iptables时自动施行。
后二种越来越好此,平时iptables服务会在network服务在此以前启来,更安全。

 =====================================================================

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 119.255.17.114 --dport 443 -j DNAT --to-destination 172.18.10.4:443

# iptables -I INPUT -p tcp --dport 80 -j DROP 
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT

别的幸免内部职工机器上网,用iptraf得到mac地址后,在iptables的 FO中华VWARAV4D的链中DROP掉就足以了。上面是个不许和回复的例子: iptables -A FO牧马人WAEscortD -m mac --mac-source AA:BB:CC:DD:EE:FF -j DROP iptables -D FOWranglerWA奥迪Q5D -m mac --mac-source AA:BB:CC:DD:EE:FF -j DROP 当然也得以arp -a |grep $mac 拿到IP地址,再用iptables禁绝掉。

代码如下:

iptables -t nat -A POSTROUTING -p tcp -s 172.18.10.4 --sport 443 -o eth0 -j SNAT --to-source 119.255.17.114

防止某些MAC地址的某部端口服务

#cat /etc/sysconfig/dhcpd

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 192.168.0.211 -p tcp -m tcp --dport 1521 -j SNAT --to-source 192.168.0.132

iptables -F
iptables -A INPUT -m iprange --src-range 10.210.65.20-10.210.65.25 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j DROP

#service iptables restart

金沙js333娱乐场 1


[root@www.ctohome.com]# iptables -L
Chain INPUT (policy ACCEPT)
target           prot opt source               destination         
ACCEPT     tcp  --  46.166.150.22    anywhere            tcp dpt:http 
DROP         tcp  --  anywhere             anywhere            tcp dpt:http 

==========================================================================

绝不忘保存

 

dhcp配置:
#cat /etc/dhcpd.conf
allow booting;
allow bootp;
ddns-update-style interim;
ignore client-updates;
default-lease-time 86400;
max-lease-time 259200;
subnet 192.168.1.0 netmask 255.255.255.0 {
                                           option routers 192.168.1.1;
                                           option ntp-servers 192.168.1.1;
                                           option subnet-mask 255.255.255.0;
                                           option domain-name-servers 202.106.0.20,202.106.196.115;
                                           range 192.168.1.100 192.168.1.200;
                                           next-server 192.168.1.2;
                                           filename "pxelinux.0";
}

预计适当扩展其余的参数也能够做差别IP的端口转发。

只同意采访钦命网站
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.ctohome.com -j ACCEPT
iptables -A Filter -d www.guowaivps.com -j ACCEPT
iptables -A Filter -j DROP

1.dhcp劳务:dhcpd包,系统自带rpm

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

禁用MSN配置
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP

iptraf没啥好写的,笔者首要使用了"lan station monitor",监察和控制内网各主机流量,然则内网再有有线路由器等配备,再做叁回路由的话,那就只可以监察和控制出口流量了,相比好的办法是把网线插到有线路由的lan口上。不过有个别路由器不帮忙这种接法,那也不能了。

-A INPUT -j REJECT --reject-with icmp-host-prohibited

 上边命令是指向性全部服务器(全体ip卡塔 尔(阿拉伯语:قطر‎防止80端口,若是只是需求禁绝服务器上某些ip地址的80端口,如何是好?

2.流量监察工具:iptraf, 系统自带rpm

简言之的安插如下所示:

iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP

==========================================================================

iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

取缔有些IP地址的PING:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

pptpd配置:
#cat /etc/pptpd.conf | sed -e /^#/d -e /^$/d
option /etc/ppp/options.pptpd
logwtmp
bcrelay eth0
localip 172.16.0.1
remoteip 172.16.0.134-234
#cat /etc/ppp/options.pptpd |sed -e /^#/d -e /^$/d
name pptpd
refuse-pap
refuse-chap
refuse-mschap
金沙js333娱乐场,require-mschap-v2
require-mppe-128
ms-dns 202.106.0.20
proxyarp
debug
lock
nobsdcomp
novj
novjccomp
nologfd
# cat /etc/ppp/chap-secrets |sed -e /^#/d -e /^$/d
wangxiaoming pptpd '159753xxx' *
lixiaohua pptpd '123456xxx' *
静心:这里只加了三个顾客,能够自定义加载,好像pptpd最多协助玖16个客商吧。小编建的时候查日志看的,没留意切磋,然则相应够了。还会有就是pptpd.conf 中的给vpn的ip最佳不用和内网重叠。

:OUTPUT ACCEPT [2:135]

iptables -I INPUT -p tcp --dport 9889 -j DROP 
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
风度翩翩经用了NAT转载记得同盟之下能力立竿见影

iptables
#cat gateway.sh
#!/bin/bash
local_ip=221.xxx.xxx.110
local_eth=eth1
lan_net='192.168.1.0/24'
allow_tcp_ports="22 53"
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
add_default(){
        echo "1" > /proc/sys/net/ipv4/ip_forward
        clear_police
        iptables -P INPUT DROP
        iptables -A INPUT -i lo -j ACCEPT
        iptables -A INPUT -i $local_eth -j ACCEPT
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
        iptables -A INPUT -p gre -j ACCEPT
        iptables -A INPUT -p udp --dport 161 -j ACCEPT #本身外网有个cacti监察和控制
}
add_nat(){
iptables -t nat -A POSTROUTING -s 192.168.1.245 -j SNAT --to-source 221.xxx.xxx.111 iptables -t nat -A PREROUTING -d 221.xxx.xxx.111 -j DNAT --to-destination 192.168.1.245 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 221.xxx.xxx.110
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j SNAT --to 221.xxx.xxx.110 #让vpn拨过来的IP能上网
iptables -t nat -A PREROUTING -d 221.xxx.xxx.110 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80
iptables -t nat -A PREROUTING -d 221.xxx.xxx.110 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.200:22
iptables -t nat -A PREROUTING -d 221.xxx.xxx.110 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.1.254:20
iptables -t nat -A PREROUTING -d 221.xxx.xxx.110 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.254:21
}
add_local_ports(){
for i in $allow_tcp_ports
    do
         iptables -A INPUT -s $lan_net -p tcp --dport $i -j ACCEPT
    done
iptables -A INPUT -s $lan_net -p icmp -j ACCEPT
}
clear_police(){
iptables -X
iptables -Z
iptables -F
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
}
case $1 in
start)
    add_default
    add_nat
    add_local_ports ;;
stop)
    add_default
    add_local_ports ;;
restart)
    $0 stop
    $0 start ;;
status)
    iptables -t nat -nL ;;
*)
     echo "Usage: $0 start|stop|restart" ;;
esac
这里有端口映射,有ip映射。够全了吧。哈哈。注意丰富“gre”的盛放是为vpn开的。

-A PREROUTING -d 192.168.124.21/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.124.21:8080

# cp /etc/sysconfig/iptables /var/tmp

前日对公司网络做了叁遍小小的调解,启用linux做网关替换原有的路由器,主因有3:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21521 -j DNAT --to-destination 192.168.0.211:1521

以下是端口,先全部封再开某个的IP

==========================================================================

sysctl -p

FTP服务器的NAT
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.1.22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:21

相关服务及软件:

:OUTPUT ACCEPT [408:185606]

假定你面生linux的ssh命令,那么能够在webmin/virtualmin面板中安装,到达相仿效果。参照他事他说加以考察:webmin面板如何设置允许特定ip访谈80端口,禁绝80端口

4.包转载,地址映射,防火墙法规:用iptables来落实

COMMIT

接连几天端口
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

1.对实时代前卫量的监督检查

2.将与 80 端口的 TCP 连接转接到本地的 8080 端口上,在防火墙上加多如下命令

1.先备份iptables

 

#echo 1 > /proc/sys/net/ipv4/ip_forward

剥夺QQ防火墙配置
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP

先写到这里,网关的可配置性很强。还应该有众多功效可用哦。我们依据要求整吧!!!

iptables -t nat -I POSTROUTING -p tcp --dport 1521 -j MASQUERADE

取缔有些IP地址的PING:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

3.vpn:pptpd包,英特网下载的rpm包

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT 8080

3.重启防火墙

iptables -t nat -I PREROUTING -p tcp --dport 1521 -j DNAT --to 192.168.0.211

解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了   

少年老成 从生机勃勃台机到另风度翩翩台机端口转载

开启ip段211.123.16.123/24端ip段的80口

# Generated by iptables-save v1.4.7 on Wed Jul 12 12:22:54 2017

只同意PING 202。96。134。133,别的服务都禁止
iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP

iptables -t nat -A POSTROUTING -j MASQUERADE

吐放三个IP的有些端口,其余都密封
iptables -A Filter -p tcp --dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.168.124.21 --dport 80 -j DNAT --to 192.168.124.21:8080

只允许PING 202。96。134。133 别的公网IP都不准PING
iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP

a.同风流倜傥端口倒车(192.168.0.132上开展1521端口访谈 iptables -A PRADOH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT)

取缔有些IP地址服务:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP

启用网卡转载效率

Linux防火墙Iptable如何设置只允许有个别ip访问80端口,只允许特定ip访谈某端口?参谋上面发号出令,只允许46.166.150.22访谈本机的80端口。假如要设置任何ip或端口,改改就能够。

1.拉开转载方式

iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

iptables-save >/tmp/iptables

封单个IP的授命是:
iptables -I INPUT -s 211.1.0.0 -j DROP

#参数生效

依据MAC,只可以收发邮件,其余都推辞
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT

#service iptables save

2.然后保存iptables

b.分化端口转载(192.168.0.132上开展21521端口访谈 iptables -A EnclaveH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21521 -j ACCEPT)

以上是有时安装。

原因:

八个端口
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

# Completed on Wed Jul 12 12:22:54 2017

# service iptables save

上述两条等价配置(更简短[点名网卡]):

iptables -I FORWARD -p tcp --dport 80 -j DROP 
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

外网访问必要通过PREROUTING链,但是localhost不经过该链,因此必要用OUTPUT。

只允许一些服务,其余都不容(2条规规矩矩)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filter -j DROP

sysctl -p

iptables -I INPUT -p TCP --dport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT

echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf

IPSEC NAT 策略
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80

二 用iptables做本机端口转载

先关闭全体的80端口

*nat

 

保存iptables

linux下实用iptables封ip段的豆蔻梢头对普及命令:

echo 1 > /proc/sys/net/ipv4/ip_forward

将WAN 口NAT到PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1


查阅iptables是或不是见到效果:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 31521 -j DNAT --to 192.168.0.211:1521

点名时间上网
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

-A INPUT -i lo -j ACCEPT

iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500

# Generated by iptables-save v1.4.7 on Wed Jul 12 12:22:54 2017

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

:PREROUTING ACCEPT [23:3557]

上边三行的情趣:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

封整个段的吩咐是:
iptables -I INPUT -s 211.0.0.0/8 -j DROP

:POSTROUTING ACCEPT [2:135]

在root顾客下实行上边2行命令后,重启iptables, service iptables restart

service iptables save

MAIL服务器要转的端口
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:25

举例:从192.168.0.132:21521(新端口)访问192.168.0.211:1521端口

===============以下是转发================================================

*filter

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

取缔有些MAC地址访谈internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP

COMMIT

封多少个段的一声令下是:
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP

:FORWARD ACCEPT [0:0]

禁用BT配置
iptables –A Filter –p tcp –dport 6000:20000 –j DROP


取缔某些MAC地址访谈internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP

-A INPUT -p icmp -j ACCEPT

不许三个端口服务
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

越来越多iptables参谋命令如下:

开启ip段192.168.1.0/24端的80口

iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT 
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP

iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500

上边包车型大巴指令是只允许来自174.140.3.190的ip访谈服务器上216.99.1.216的80端口

iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

急需开80端口,钦命IP和局域网

制止有个别IP地址的某部端口服务
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP

本文由js333发布于计算机互联网,转载请注明出处:配置iptables实现本地端口转发的方法详解,linux防

关键词:

上一篇:金沙js333娱乐场:的并行控制与数据存取冲突侦测

下一篇:自己动手写Redis客户端,通信协议金沙js333娱乐场