Category: Iptables
-
iptables的DROP target
这个内置的target使内核不继续处理这条链,也不给发送者发送任何的拒绝信息。 只有DROP target 和 ACCEPT target 可以被用来当做内部链 可以看REJECT target,它会给发送者发送一个ICMP回复 禁止上某网站: iptables -I OUTPUT -p tcp -m string –string “jd.com” –algo bm -j DROP iptables -I OUTPUT -p tcp -m string –string “58.com” –algo bm -j DROP iptables -I OUTPUT -p tcp -m string –string “taobao.com” –algo bm -j DROP iptables -I OUTPUT -p tcp -m…
-
iptables的DNAT target
Destination Network Address Translation (DNAT)是通过修改包的目标地址和/或端口实现的。如果目标地址是多个,这些地址就会被分离。连接跟踪信息确保包的每一个地址走向同一主机和端口。 选项 –to-destination a1[-a2][:p1-p2] a1和a2标明了目标地址,p1和p2标明了端口范围。 DNAT target只在nat表的PREROUTHING和OUTPUT链中可有 如:从80端口进来的包传到内部监听的电脑192.168.1.80 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.80 注意:当使用这种DNAT时,将内外DNS区分,才可以使内网的主机使用内部地址访问外网。
-
iptables的connmark匹配和目标
来自于 Linux iptables Pocket Reference connmark Match 是基于packet’s connection mark(包连接标记) 匹配: –mark value 匹配=value的连接 目标: –set-mark value 设置标记为整数值 –save-mark 保存包的标记 –restore-mark 恢复包的标记
-
iptables常用排错工具
来自于 Linux iptables Pocket Reference ethereal Network protocol analyzer. http://www.ethereal.com/ Nessus Remote security scanner. http://www.nessus.org/intro.html nmap Network mapper. http://www.insecure.org/nmap/ ntop Network traffic probe. …
-
iptables之透明代理Transparent Proxying
来自于 Linux iptables Pocket Reference 透明代理是一种截获指定向外连接并转向一台可以达到本来连接目的连接的一种方式,这种技术可以使你只设置代理服务,而不用给内网的每一台电脑设置访问方式。 因为所有访问外部的流量都经过网关,所以所有的向外连接通过端口都是透明的。 如果你在防火墙监听了一个HTTP代理,端口8888,例如Squid,你可以添加这样一条转出规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8888 iptables做网关,针对端口级别的做转发,网关ip为{gateway} -A PREROUTING -d {gateway}/32 -p tcp -m tcp –dport 8989 -j DNAT –to-destination 192.168.1.2:9200 -A POSTROUTING -s 192.168.1.2/32 -o eth1 -p tcp -j SNAT –to-source {gateway}:8989 多个端口一对一映射 {gateway}8989 {lan_ip}:9200…
-
iptables的Destination NAT (DNAT)
Destination NAT (DNAT) 将内网的特定服务暴露在外网,而不用直接把内网电脑连到外网。只要没有更多的服务同时使用那个端口,只需一个外网的连接即可。 做为gateway把链接转向到特定端口到指定的内部电脑和端口,再回转到外部网络。 因为DNAT涉及到修改封包的目标地址和/或端口是在它们交给本地程序和交给其他电脑之前的,所以在nat表中表现为PREROUTING链。 例如,进入的连接从网关的80端口到内部网络的192.168.1.3的8080端口,可以使用这样一条规则: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.3:8080