2010/05/18 学习 iptable, 为了ips测试
1. 关于iptable的顺序问题详细看 防火牆與 NAT
1. 关于iptable的顺序问题
假設您的 Linux 主機提供了 WWW 的服務,那麼自然就要針對 port 80 來啟用通過的封包規則,但是您發現 IP 來源為 192.168.100.100 老是惡意的嘗試入侵您的系統,所以您想要將該 IP 拒絕往來,最後,所有的非 WWW 的封包都給他丟棄,就這三個規則來說,您要如何設定防火牆檢驗順序呢?
- Rule 1 先抵擋 192.168.100.100 ;
- Rule 2 再讓要求 WWW 服務的封包通過;
- Rule 3 將所有的封包丟棄。
- Rule 1 先讓要求 WWW 服務的封包通過;
- Rule 2 再抵擋 192.168.100.100 ;
- Rule 3 將所有的封包丟棄。
此時,那個 192.168.100.100 『可以使用您的 WWW 服務』喔!因為只要他對您的主機送出 WWW 要求封包,就可以使用您的 WWW 主機功能了,因為您的規則順序定義第一條就會讓他通過, 而不去考慮第二條規則!這樣可以理解規則順序的意義了嗎!現在再來想一想,如果 Rule 1 變成了『將所有的封包丟棄』,Rule 2 才設定『WWW 服務封包通過』,請問,我的 client 可以使用我的 WWW 服務嗎?呵呵!答案是『否~』想通
2. 关于iptable nat
sysctl -w net.ipv4.ip_forward=1
打开路由的功能,不开是绝对不行。
debian:~# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.200.122.135
添加转发功能。
posted on 2010-05-18 17:04 Imagination 阅读(202) 评论(0) 编辑 收藏 举报