Chinaunix首页 | 论坛 | 博客
  • 博客访问: 83738
  • 博文数量: 32
  • 博客积分: 1505
  • 博客等级: 上尉
  • 技术积分: 315
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-04 14:41
文章分类

全部博文(32)

文章存档

2012年(1)

2011年(1)

2010年(1)

2008年(29)

我的朋友

分类: 网络与安全

2008-09-08 15:10:04

iptables 命令集合
用Iptables屏蔽IP
iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

####*****************************************************************
####*****************************************************************
插入一行 过滤进来的地址 193.168.0.1
iptables -I INPUT 1 -s 193.168.0.1 -j DROP    插入
                 -A      添加
                 -D       删除
ACCEPT:放行。直接跳往下一个规则链
REJECT:阻拦。处理后不再对比其他规则,直接中断过滤程序并传送消息
DROP:丢弃包。直接中断过滤程序
******************************************************************####
******************************************************************####

###-----------------------------------------------------###
# 打开 forward 功能
###-----------------------------------------------------###

echo "1" > /proc/sys/net/ipv4/ip_forward

###--------------------清除规则------------------------###
# 清除预设表 filter 中,所有规则链中的规则
iptables -F

# 清除mangle表中,所有规则链中的规则
iptables -F -t mangle

# 清除nat表中,所有规则链中的规则
iptables -F -t nat
###-----------------------------------------------------###


###--------------------IP伪装-----------------------###
###-----------------------------------------------------###
# 启动内部对外转址
###-----------------------------------------------------###

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指∶把 172.16.0.0/16 这个网段,伪装成 $FW_IP 出去

===============================================
==============================================================================================
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 218.17.xxx.xxx  -p tcp --dprot 80 -j DNAT --to  192.168.188.5:80

讲 访问 218.17.xxx。xxx 的80 转换成内网的 192.168.188.5 的80

ptables -t nat -A PREROUTING -d "对外公网ip" -p tcp --dport "对外端口" -j DNAT --to "内部实际提供服务的ip":"实际提供服务的端口"


iptables -t nat -A POSTROUTING -d "内部实际提供服务的ip"-p tcp --dport "实际提供服务的端口" -j SNAT --to "运行iptables机器的内网ip"
==============================================================================================
===============================================
防止ping
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP

/etc/sysctl.conf  改  net.ipv4.ip_forward = 1
这个很重要,不然NAT代理不能生效的

ip映射

iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100

阅读(713) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~