简单记录下对linux防火墙操作命令
一、操作防火墙命令
1、查看防火墙状态--服务式
service iptables status
2、查看防火墙状态--文件式
/etc/init.d/iptables status
3、防火墙配置文件地址
vi etc/sysconfig/iptables
4、防火墙保存
service iptables save
5、防火墙停止
/etc/init.d/iptables stop 或者 service iptables stop
6、其他常用命令
service iptables {start / stop / reload / restart / condrestart / status / panic / save}
注:如果防火墙的配置文件进行了修改请执行 service iptables save 然后 service iptables restart
二、操作防火墙配置文件
*文件内容来源于阿里云*
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
从文件内容中一眼可以看出一共分为两块Nat和Filter
一、Nat
Nat用以配置多台内网服务器共享公网主机的公网线路,从而实现在公网中可以正常访问不同的内网服务器。(来源于http://www.myhack58.com/Article/48/66/2013/37488.htm)
工作原理:
请求: 当外部使用浏览器访问公网IP时首先会经过Nat的PREROUTING配置进行过滤,将访问的IP和端口映射到内网服务器,配置如下所示:
iptables –t nat –A PREROUTING –p tcp –i eth1 --dport 8080 –j DNAT --to 192.168.1.1:8080
注:eth0,eth1,eth2 是代表的网卡要根据系统装的网卡而定eth1指的公网网卡,当然可以使用cat /etc/sysconfig/network-scripts/ifcfg-eth0 来进行查询
响应:在内网服务器处理完成返回数据包时会经过Nat的POSTROUTING配置进行数据包转发, 由内网IP转手给公网 IP进行操作,配置如下所示:
iptables –t nat –A POSTROUTING –s eht0 –o eth1 –j MASQUERADE
或者 iptables –t nat –A POSTROUTING –o eth1 SNAT --to xxx.xxx.xxx.xx
或者 iptables –t nat –A POSTROUTING –o eth1 SNAT --to xxx.xxx.xxx.xx-xxx.xxx.xxx.xx
分别指向公网网卡、公网IP、公网IP群
OUTPUT:主要处理内网服务器的封包问题。表示对内网服务器的本地资源封包规则处理
详情可参见:http://iquicksandi.blog.163.com/blog/static/132285262201044104352307/
命令说明:
1.-t 后面接table,例如nat或filter
2.-A:指定链名
3.-p:指定协议类型
4.-i 或者-o 指定网络接口(PREROUTING链用-i POSTROUTING 用-o)
5.-d:指定目标地址
6.--dport:指定目标端口(destination port 目的端口)
7.--sport:指定源端口(source port 源端口)
8.-j:指定动作类型
二、Filter
时间问题 明天补上