㈠ 請教如何用iptables做埠映射,映射web伺服器和ftp伺服器
iptables -t nat -A PREROUTING -d 202.114.x.x -p tcp --destination-port 80 -j DNAT --to 192.168.0.2
iptables -t nat -A OUTPUT-s 192.168.0.2 -p tcp --source-port 80 -j SNAT --to 202.114.x.x
iptables -t nat -A PREROUTING -d 202.114.x.x -p tcp --destination-port 21 -j DNAT --to 192.168.0.1
iptables -t nat -A OUTPUT-s 192.168.0.1 -p tcp --source-port 21 -j SNAT --to 202.114.x.x[/color]
192.168.0.1和192.168.0.2是內網ip
㈡ 如何訪問虛擬機中的架設的Web伺服器
第一步:設置虛擬機的網路適配器為橋接模式
這時候在外網的瀏覽器中輸入虛擬機的IP地址,就可以訪問虛擬機的web伺服器了
㈢ 主機怎麼訪問虛擬機的web伺服器
:linux問題解決: 一、iptables -F iptables -P INPUT ACCEPT(設置默認允許規則) 一.二、設置linux防火牆 一.二.一 /etc/sysconfig/iptables 添加 -A RH-Firewall-一-INPUT -m state --state NEW -m tcp -p tcp --dport 吧0 -j ACCEPT 允許吧0埠訪問 一.二.二 linuxweb服務添加進入信任服務 系統->管理->安全級別防火牆->防火牆選項->至美(http)打鉤 二:VMware問題:否埠映射問題 二.一、設置VMware埠映射 要吧0埠打要VMwareEdit->Virtual Network Editor->NAT(選擇VMnet吧)->Edit->Port Forwarding添加映射 host port:吧0virtual machine IP address:一9二.一陸吧.二5四.一二吧Port:吧0 三、windows問題:否windows防火牆問題 四.一、windows主機設置防火牆 window進入控制面板->windows防火牆->高級->設置VMware Network Adapter VMnet吧->Web 伺服器(HTTP)->虛擬機ip加入:一9二.一陸吧.二5四.一二
㈣ Linux大神進!iptables怎樣配置web伺服器的80埠才能訪問網站
再看一下其他的規則:
iptables -t nat -L
關閉防火牆後,還不行,說明不是防火牆的問題,看看80埠有無被佔用,還有selinux的問題,關了試試。
㈤ Linux防火牆iptables限制幾個特定ip才能訪問伺服器。
linux下要使用iptables限制只有指定的ip才能訪問本機則需要先設置一個默認的規則
iptables有默認的規則,它可以適用於所有的訪問
因為只有指定或特定的ip地址才能訪問本機
所以可以將默認的規則設置為所有訪問全部阻止(當然這里需要注意下,如果你要設置的機器是在遠端,比如vps則需要注意在設置默認規則的同時要將與該伺服器鏈接的ip添加進白名單,否則在設置完默認阻止後你也無法訪問這台伺服器,也無法再進行操作了,我們可以使用分號;或者&&來在同一個命令行下來完成默認阻止和將自己的ip添加進白名單,假如你的ip地址為1.2.3.4則可以這樣輸入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT,或者也可以指定一個埠)
設置默認規則後則可以添加白名單了
比如允許2.3.4.5訪問則可以
iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT
如果要限定的不是整個伺服器而只是該伺服器中的某個服務
比如web服務(一般埠在80,https在443)
則我們可以使用0.0.0.0/0來阻止所有的ip地址
比如
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
以及
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP
來阻止所有訪問web伺服器的ip地址
然後再添加指定的ip到白名單
比如添加1.2.3.4,我們可以
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT
如果我們允許某個網段下的所有ip都可以訪問的話比如1.2.3.[0-255],我們可以
iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT
總之不管是阻止所有的服務還是只阻止指定的服務
我們可以先將默認的規則設置為所有ip都不可訪問
然後再手動添加ip地址到白名單
㈥ iptables web伺服器規則
新建一個shell腳本
vi firewall.sh
將下面的內容,從「內容開始」至「內容結束」全部復制添加到上面的腳本文件中。
注意將下面內容中的一個內容替換--{你的源IP} 替換成你的源IP。如果你的源IP是動態的,建議將開放80那樣開放它。
------------------------------------------內容開始
#!/bin/sh
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
#以上命令為載入模塊
iptables -P INPUT DROP
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
#以上命令為設置默認規則----禁止所有,注意會清空原有規則,請注意原有規則的保存備份。
################################add tointernet##########################
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 8080 -j ACCEPT
################################add tointernet##########################
#以上規則的意思是,開放你伺服器對外訪問的回程允許,如果你的伺服器不需要對外訪問,請刪除
#
#
################################add manager#############################
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s {你的源IP} -p 0 -j ACCEPT
################################add manager#############################
#以上的規則的意思是,開放你的管理客戶端的所有通訊(當然包括22埠啦),但除了這個源IP外,其它任何IP都訪問該伺服器的22埠了
#
#
################################add 80##################################
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
################################add 80##################################
#開放外網所有訪問你的80
#如果你的MYSQL或其它服務需要對外開放,請按上面的格式添加
#
#
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart
------------------------------------------內容結束
保存shell腳本文件。
通過下面的命令,將腳本執行
/bin/sh firewall.sh
看到OK狀態後,通過下面的命令檢查IPTABLES狀態
iptables -L -n
--------------------------------------
註:因為要做埠映射,這兩天內都在搞IPTABLES,上面算是搞了兩天的一點點成果,見笑了,:)
㈦ 如何用iptables來防止web伺服器被CC攻擊
CC主要是用來攻擊頁面的。大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,訪問的人越多,論壇的頁面越多,資料庫就越大,被訪問的頻率也越高,佔用的系統資源也就相當可觀。(網路)
CC攻擊防護基本原理是防止一個IP多次不斷刷新而斷開與該IP得連接,防止伺服器癱瘓,達到了防攻擊目的。
網站安全狗有CC防護功能,開啟即可防護。也允許用戶設置CC攻擊防護規則。允許用戶設置「訪問規則」、「會話驗證規則」、「代理規則」、「不受防護的網站"(網站白名單)等。
㈧ WEB伺服器如何配置iptables設置80埠
修改iptables配置文件,添加訪問規則:
(1)、打開文件:vi /etc/sysconfig/iptables
(2)、添加規則(放行80埠):-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
(3)、保存退出:按esc,:wq!
(4)、重啟防火牆,使規則生效:service iptables restart
這才是正確的方法
㈨ linux iptables 做內網訪問規則,怎麼做
行了,應該在/etc/network/下子文件夾中的某個配置文件,但是事實上,因為linux有防火牆,所以事實上需要在防火牆的forward鏈上做轉發,因為數據包是先碰到防火牆過濾後才進入內核空間,如果在防火牆轉發,那個設置內核的埠轉發就沒什麼意義了。
補充回答:
聲明:本人主要使用的是debian系統,對於紅帽不是非常熟悉,所以在配置文件的路徑及命名上和你的實際情況會有出入,請酌情更改!!
首先,你需要更改/etc/sysctl.conf這個文件,找到如下行:
net.ipv4.ip_forward = 0
把0改成1打開內核轉發,然後用source命令重讀該配置文件。
然後你需要用以下命令打開forward鏈上所有的轉發,這里只給你簡單的實現forward,並沒實現保護LAN的防火牆功能,請參閱參考資料獲得iptables的詳細配置方法!
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
service iptables save
service iptables restart
附註:
man iptables
命令格式:
# iptables [-t 表名] 命令 [鏈] [規則號] [條件] [規則]
說明:⑴ -t 表名 指定規則所在的表。表名可以是 filter ,nat ,mangle (小寫)
⑵ 命令 (iptables的子命令)
-A 在指定鏈中添加規則
-D 在指定鏈中刪除指定規則
-R 修改指定鏈中指定規則
-I 在指定規則前插入規則
-L 顯示鏈中的規則
-N 建立用戶鏈
-F 清空鏈中的規則
-X 刪除用戶自定義鏈
-P 設置鏈的默認規則
-C 用具體的規則鏈來檢查在規則中的數據包
-h 顯示幫助
⑶ 條件
–i 介面名 指定接收數據包介面
-o 介面名 指定發送數據包介面
-p [!]協議名 指定匹配的協議 (tcp , udp , icmp , all )
-s [!]ip地址 [/mask] 指定匹配的源地址
--sport [!]埠號 [:埠號] 指定匹配的源埠或范圍
-d [!]ip地址 [/mask] 指定匹配的目標地址
--dport [!]埠號 [:埠號] 指定匹配的目標埠或范圍
--icmp –type [!]類型號/類型名 指定icmp包的類型
註:8 表示request 0 表示relay (應答)
-m port --multiport 指定多個匹配埠
limit --limit 指定傳輸速度
mac --mac-source 指定匹配MAC地址
sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的狀態
註:以上選項用於定義擴展規則
-j 規則 指定規則的處理方法
⑷ 規則
ACCEPT :接受匹配條件的數據包(應用於I NPUT ,OUTPUT ,FORWARD )
DROP :丟棄匹配的數據包(應用於INPUT ,OUTPUT ,FORWARD )
REJECT :丟棄匹配的數據包且返回確認的數據包
MASQUERADE :偽裝數據包的源地址(應用於POSTROUTING且外網地址
為動態地址,作用於NAT )
REDIRECT :包重定向 (作用於NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 埠號 )
TOS : 設置數據包的TOS欄位(應用於MANGLE,要加上--set-tos 值)
SNAT : 偽裝數據包的源地址(應用於NAT表中POSTROUTING鏈,要加上--to-source ip地址 [ip地址] )
DNAT : 偽裝數據包的目標地址(應用於NAT表中PREROUTING鏈,要加上--to-destination ip地址 )
LOG :使用syslog記錄的日誌
RETURN :直接跳出當前規則鏈
3. iptables子命令的使用實例
⑴ 添加規則
#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP
(拒絕192.168.0.3主機發送icmp請求)
# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP
(拒絕192.168.0.0網段ping 防火牆主機,但允許防火牆主機ping 其他主機)
# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP
(拒絕防火牆主機向192.168.0.0網段發送icmp應答,等同於上一條指令)
# iptables –A FORWARD –d -j DROP
(拒絕轉發數據包到,前提是必須被解析)
# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1
(NAT,偽裝內網192.168.0.0網段的的主機地址為外網211.162.11.1,這個公有地址,使內網通過NAT上網,前提是啟用了路由轉發)
# iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5
(把internet上通過80埠訪問211.168.11.1的請求偽裝到內網192.168.0.5這台WEB伺服器,即在iptables中發布WEB伺服器,前提是啟用路由轉發)
# iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT
(保留IP地址,綁定 IP地址與MAC地址)
⑵刪除規則
# iptables –D INPUT 3
# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT
⑶插入規則
# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP
# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP
⑷修改規則
# iptables –R INPUT 1 –s 192.168.0.2 –j DROP
⑸顯示規則
# iptables –L (默認表中的所有規則)
# iptables –t nat –L POSTROUTING
⑹清空規則
# iptables –F
# iptables –t nat –F PREROUTING
⑺設置默認規則
# iptables –P INPUT ACCEPT
# iptables –t nat –P OUTPUT DROP
(註:默認規則可以設置為拒絕所有數據包通過,然後通過規則使允許的數據包通過,這種防火牆稱為堡壘防火牆,它安全級別高,但不容易實現;也可以把默認規則設置為允許所有數據包通過,即魚網防火牆,它的安全級別低,實用性較差。)
⑻建立自定義鏈
# iptables –N wangkai
⑼刪除自定義鏈
# iptables –X wangkai
⑽應用自定義鏈
# iptables –A wangkai –s 192.168.0.8 –j DROP
# iptables –A INPUT –j wangkai
(註:要刪除自定義鏈,必須要確保該鏈不被引用,而且該鏈必須為空,如要刪除上例定義的自定義鏈方法為:
# iptables –D INPUT –j wangkai
# iptables -F wangkai
# iptables -X wangkai
另外,團IDC網上有許多產品團購,便宜有口碑
㈩ 請問關於一條iptables規則配置,實現web地址跳轉
假設: 內網是172.16.0.0/16這個網路, WEB伺服器是172.16.0.1,策略如下:
iptables -t nat PREROUTING -s 172.16.0.0/16 -p tcp --dport 80 -j DNAT --to 172.16.0.1
這樣的話,訪問任何網站都會轉到172.16.0.1這台伺服器上。
注意,要在iptables主機上開啟路由轉發。
如果不行,可以再加上以下策略:
iptables -t nat -A POSTROUTING -j MASQUERADE
不過一般不需要的。