iptables 命令集合
用Iptables屏蔽IP
iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
####*****************************************************************
####*****************************************************************
插入一行 过滤进来的地址 193.168.0.1
iptables -I INPUT 1 -s 193.168.0.1 -j DROP 插入
-A 添加
-D 删除
ACCEPT:放行。直接跳往下一个规则链
REJECT:阻拦。处理后不再对比其他规则,直接中断过滤程序并传送消息
DROP:丢弃包。直接中断过滤程序
******************************************************************####
******************************************************************####
###-----------------------------------------------------###
# 打开 forward 功能
###-----------------------------------------------------###
echo "1" > /proc/sys/net/ipv4/ip_forward
###--------------------清除规则------------------------###
# 清除预设表 filter 中,所有规则链中的规则
iptables -F
# 清除mangle表中,所有规则链中的规则
iptables -F -t mangle
# 清除nat表中,所有规则链中的规则
iptables -F -t nat
###-----------------------------------------------------###
###--------------------IP伪装-----------------------###
###-----------------------------------------------------###
# 启动内部对外转址
###-----------------------------------------------------###
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指∶把 172.16.0.0/16 这个网段,伪装成 $FW_IP 出去
===============================================
==============================================================================================
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 218.17.xxx.xxx -p tcp --dprot 80 -j DNAT --to 192.168.188.5:80
讲 访问 218.17.xxx。xxx 的80 转换成内网的 192.168.188.5 的80
ptables -t nat -A PREROUTING -d "对外公网ip" -p tcp --dport "对外端口" -j DNAT --to "内部实际提供服务的ip":"实际提供服务的端口"
iptables -t nat -A POSTROUTING -d "内部实际提供服务的ip"-p tcp --dport "实际提供服务的端口" -j SNAT --to "运行iptables机器的内网ip"
==============================================================================================
===============================================
防止ping
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
/etc/sysctl.conf 改 net.ipv4.ip_forward = 1
这个很重要,不然NAT代理不能生效的
ip映射
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
阅读(713) | 评论(0) | 转发(0) |