Windows system >> Conocimiento de Windows >  >> Tutorial del sistema Linux >> Tutorial de linux

IpTables bajo el tutorial de configuración de Linux

  

1, el filtro de tabla especificado para la tabla predeterminada del firewall de filtro de paquetes, tabla nat, mangle table 2, especifique el comando de operación para agregar, eliminar, actualizar 3, especifique la entrada de firewall del filtro de paquetes de operación en cadena, salida hacia adelante También es posible operar su propia definición. 4. Especifique coincidencias de reglas. Varias reglas coinciden. Por ejemplo, IP, puerto, tipo de paquete 5, acción objetivo especificada ACEPTAR significa que fue descartado por DROP significa RECHAZAR significa rechazar el paquete. LOG indica que la información del paquete está registrada. Valor de TOS del registro TOS reescribir el uso del paquete: < ,null,null,3],-t tabla] cmd [cadena] [coincidente de reglas] [- j destino] cmd: -A Agregue una o más reglas al final de la cadena seleccionada -D Eliminar -R Reemplazar -I Insertar -L Listar todas las reglas - F Borrar - N Crear - X Eliminar la cadena definida por el usuario especificada - P Especificar la regla predeterminada para la cadena permanente - C Verificar si el paquete dado coincide con la regla de la cadena especificada - Z contará los bytes del paquete de todas las reglas en la cadena especificada Desactivado -h muestra información de ayuda //ejemplo # touch /etc/rc.d/filter-firewall //IPT = /sbin /iptables WWWSERVER = 192.168.168.119 FTPSERVER = 192.168.168.119 IPRANGE = 192.168.168.0 /24 $ IPT -F $ IPT -P ADELANTE DROP $ IPT -A ADELANTE -p tcp -d $ WWWSERVER --dport www -i eth0 -j ACEPTAR $ IPT -A FORWARD -p tcp -d $ FTPSERVER --portar ftp -i eth0 -j ACEPTAR $ IPT -A ENTRADA -s 192.168.168.81 -i eth0 -j GOTAR ----------------------- - Caso: Hace unos días se encontró un pequeño problema: una pequeña red con una IP pública de telecomunicaciones. Después de usar NAT para hacer NAT, todos los usuarios salen de esta IP. Hay algunos servidores en el interior que deben anunciarse, como: 80, hacer SNAT en NAT (deje que todos vayan aquí en la red externa): iptables -t nat -A POSTROUTING -o eth0 -j SNAT - to-source 222.111.33.88 Luego haga DNAT para anunciar el servicio (los clientes externos pueden acceder al servidor a través de la IP pública): iptables -t nat -A PREROUTING -d 222.111.33.88 -p tcp -m tcp --dport 80 -j DNAT --to- Destino 192.168.1.250:80 Después de dos pasos, los usuarios internos deben poder acceder a la red externa, y los usuarios externos pueden acceder a nuestros servidores internos. ** Nota: Para activar el reenvío y borrar las reglas anteriores. ****** echo 1 > /proc /sys /net /ipv4 /ip_forward iptables -F iptables -X iptables -t nat -F iptables -t nat -X ************ ********************

Pero ahora hay un problema, es decir, el usuario detrás de NAT (LAN) no pasa directamente a través de la IP de WAN: 222.1111.33.88 Accede al servidor interno. Los clientes consideran que solo una IP (222.111.33.88) es conveniente, y no quieren comprar un nombre de dominio. Solo quiere que todos recuerden esta IP. Se puede acceder en cualquier momento y en cualquier lugar (tanto en el interno como en el externo).

Ahora veamos por qué la red interna no puede acceder al servidor a través de WAN IP. Veamos cómo va el paquete: Supongamos que la IP del usuario del acceso a la intranet es: 192.168.1.123 La IP del servidor es: 192.168 .1.250, todo el proceso es así: 192.168.1.123 puerto de acceso 202 de 222.111.33.88 a través del puerto XXX, puerto IP de origen: 192.168.1.123: puerto IP de destino XXX: 222.1111.88.88: 80 Después de recibir el paquete de datos, NAT Se encontró que la solicitud era interna (DNAT) y el paquete se envió directamente al 192.168.1.250. 192.168.1.250 recibió el paquete de 192.168.1.123. Si responde nuevamente a 192.168.1.123, 192.168.1.123 recibirá una respuesta similar a: 192.168.1.250:80 ---> 192.168.1.123XXX. Sin embargo, 192.168.1.123 solicitudes: 222.111.33.88:80, por lo que no recibe una respuesta de 192.168.1.250:80. Transferencia de datos fallida. Por lo tanto, los usuarios internos no pueden acceder directamente a través de la IP de WAN. A través del proceso anterior, encontramos que el problema proviene principalmente de la solicitud de la intranet a la puerta de enlace, al ingresar a la primera cadena, PREROUTING es DNAT (asignación de puertos) que no pasará por el SNAT para la traducción de la dirección de origen, ya que no proviene de la tarjeta de red externa. Entonces, si desea que el paquete regrese correctamente, tiene que hacer un SNAT después de PREROUTING. Iptables -t nat -I POSTROUTING -s 192.168.1.0/255.255.255.0 -p tcp -d 192.168.1.250 --dport 80 -j SNAT --to 192.168.1.1 OK, el problema está resuelto. *** Si es FORWARD DROP, recuerde abrir 192.168.1.250:80 iptables -A FORWARD -p tcp -d 192.168.1.250 --dport 80 -j ACCEPT

Si desea usar el servicio FTP, recuerde Cargue el módulo FTP apropiado: modprobe ip_conntrack_ftp modprobe ip_nat_ftp También preste atención al modo activo y pasivo

-------------------------- Un artículo: 1, introducción de iptables

iptables es complejo, está integrado en el kernel de Linux. Los usuarios pueden filtrar paquetes que entran y salen de su computadora a través de iptables. Establezca sus reglas con el comando iptables para proteger su red de computadoras: qué datos pueden pasar, cuáles no pueden pasar y cuáles para pasar datos. A continuación, le mostraré cómo configurar sus propias reglas, a partir de ahora.

2, trabajo de inicialización

En el indicador de shell # debajo de

iptables -F

Tutorial de linux
Conocimiento de Windows
Resuelva la situación donde se desconoce el gráfico en los detalles de Ubuntu

                   En general, después de instalar ubuntu, se ha instalado el controlador de pantall
Compartir archivos de Linux - procesar y abrir archivos

  Linux admite compartir archivos abiertos entre diferentes procesos. Para ilustrar el uso compartid
Visión general de Windows CE

Windows CE es un sistema operativo integrado desarrollado por Microsoft que se puede utilizar en una
Tres pasos para enseñarle cómo crear una unidad flash de Linux

Una unidad flash es una de las herramientas más útiles que una persona puede tener. Con él, puede re
Formato YUV detallado, gráfico detallado YUV420 formato de datos

El formato YUV tiene dos categorías principales: planar y empaquetado. Para el formato YUV planar, l
Steam Box o sistema Linux

Noticias de la tienda de computadoras: De acuerdo con el último informe de un sitio web de tecnologí
  • Preguntas frecuentes del sistema Linux
  • Tutorial de linux
  • Sobre linux

    • Win7 actualización Win8 usuarios nacionales necesitan gastar 98 yuanes

    Dos estilos de formato de comando chmod bajo Linux /Ubuntu

    Método de presentación detallada de arranque win7

    Windows 8 función oculta abrir la herramienta de lanzamiento

    Panel de control de Windows 8 desaparece, ¿cómo solucionarlo?

    Windows 8 IE10 no puede descargar la solución de archivos

    Win8 boot no aparece automáticamente como página web

    Sitio web del evento abierto más deslumbrante de la quinta bomba de la estrella de la suerte más deslumbrante de agosto de CF compartir

    La actualización de seguridad de la aplicación Win8 no está sujeta a la restricción "Tuesday Patch Day"

    Cómo Win8 resuelve el problema de que el administrador de recursos se apaga automáticamente

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved