首页 > 系统相关 >网络系统管理Linux环境——7.ROUTERSRV之IPTABLES

网络系统管理Linux环境——7.ROUTERSRV之IPTABLES

时间:2023-03-19 15:32:36浏览次数:35  
标签:IPTABLES iptables -- ROUTERSRV tcp dport Linux FORWARD ACCEPTiptables

题目要求

服务器RouterSrv上的工作任务

6.  IPTABLES

添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。

INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行。

项目实施

SNAT 规则:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens33 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
iptables -t nat -nvL POSTROUTING

DNAT 规则:

iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 --dport 53 -j DNAT --to 192.168.100.1

iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 53,80,443,465,993

iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 20,21,4500:5000 -

iptables -t nat -nvL PREROUTING

放行必要流量:

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 2021,22 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 67,123,1194 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 20,21,53,80,443,456,993,4500:5000 -j ACCEP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.16.0.0/24 -d 192.168.100.200 -m multiport --dport 137,1
iptables -A FORWARD -s 172.16.0.0/24 -d 192.168.0.0/24 -j ACCEPT

常见用法:

查看规则
iptables -L
清除所有规则
iptables -F
保存规则
iptables-save > /etc/iptables.conf
载入保存的规则
iptables-restore </etc/iptables.conf 
iptables -t nat -D POSTROUTING 1 删除NAT条目

添加转换地址:(服务器IP为192.168.0.100)

# 清空所有规则和计数器
iptables -F
iptables -X

# 设置默认策略为DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# 允许内部客户端访问互联网区域
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

# 允许外部客户端访问DNS服务(端口53)
iptables -A FORWARD -p udp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT

# 允许外部客户端访问Mail服务(端口25、110、143、465、993和995)
iptables -A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 995 -j ACCEPT

# 允许外部客户端访问Web服务(端口80和443)
iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT

# 允许外部客户端访问FTP服务(端口21)
iptables -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT

# 开启NAT功能
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

标签:IPTABLES,iptables,--,ROUTERSRV,tcp,dport,Linux,FORWARD,ACCEPTiptables
From: https://blog.51cto.com/lyx888/6131229

相关文章

  • 网络系统管理Linux环境——8.AppSrv之SSH
    题目要求服务器AppSrv上的工作任务1. SSH安装SSH,工作端口监听在192101。仅允许InsideCli客户端进行ssh访问,其余所有主机的请求都应该拒绝。在cskadmin用户环境下可以免秘......
  • Linux理论知识
    理论知识1.1文件名后缀1作用是说明和注释一个文件的性质。2与文件类型无关。1.2常见的压缩文件后缀名1.gz2.bz23.xz4.zip5.tar6.tar.gz7.tar.bz22.归档和展开归档2.1tar1......
  • Redis的Linux下的安装
    Linus一,虚拟机下安装Linus选择虚拟机安装CentOS-7-x86_64-Minimal-1804的镜像,按顺序操作下一步创建root密码,如123456,点击完成,重启输入root和设定的密码123456进入系......
  • 网络系统管理Linux环境——4.ROUTERSRV之SSH
    题目要求服务器RouterSrv上的工作任务3. SSH工作端口为2021;只允许用户user01,密码ChinaSkill21登录到router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登......
  • 网络系统管理Linux环境——5.ROUTERSRV之NTP
    题目要求服务器RouterSrv上的工作任务4. NTP在ISPSRV作为时间服务器安装chrony,提供时间同步。在AppSrv和StorageSrv创建CRON计划任务,每隔五分钟进行一次时间同步。项目实......
  • 网络系统管理Linux环境——6.ROUTERSRV之OPEN为皮N
    题目要求服务器RouterSrv上的工作任务5. OPENVPNVPN客户端只能与InsideCli客户端网段通信,以及允许访问StorageSrv主机上的SAMBA服务;VPN客户端可使用的地址范围是172.16.0......
  • 网络系统管理Linux环境——3.ISPSRV之DNS
    题目要求服务器IspSrv工作任务2. DNS安装BIND9;配置为DNS根域服务器;其他未知域名解析,统一解析为该本机IP;创建正向区域“chinaskills.cn”;类型为Slave;主服务器为“AppSrv”......
  • 网络系统管理Linux环境——1.基础配置
    一、  项目任务描述你作为一个Linux的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充......
  • 网络系统管理Linux环境——2.ISPSRV之DHCP
    题目要求服务器IspSrv工作任务1. DHCP为OutsideCli客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;域名解析服务器:按照实际需求配置DNS服务器地址选项;网关:按照实......
  • 【问题解决】Linux 下 VSCode IntelliSense 对 C 语言读写锁类型报错的问题
    如图下图所示,当我们想要使用C语言读写锁类型时,IntelliSense会提示如下未定义的错误:IntelliSense提示错误但是,如果忽略这些错误,直接`gcc-o`程序又没有问题。通......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99