㈠ 请教如何用iptables做端口映射,映射web服务器和ftp服务器
iptables -t nat -A PREROUTING -d 202.114.x.x -p tcp --destination-port 80 -j DNAT --to 192.168.0.2
iptables -t nat -A OUTPUT-s 192.168.0.2 -p tcp --source-port 80 -j SNAT --to 202.114.x.x
iptables -t nat -A PREROUTING -d 202.114.x.x -p tcp --destination-port 21 -j DNAT --to 192.168.0.1
iptables -t nat -A OUTPUT-s 192.168.0.1 -p tcp --source-port 21 -j SNAT --to 202.114.x.x[/color]
192.168.0.1和192.168.0.2是内网ip
㈡ 如何访问虚拟机中的架设的Web服务器
第一步:设置虚拟机的网络适配器为桥接模式
这时候在外网的浏览器中输入虚拟机的IP地址,就可以访问虚拟机的web服务器了
㈢ 主机怎么访问虚拟机的web服务器
:linux问题解决: 一、iptables -F iptables -P INPUT ACCEPT(设置默认允许规则) 一.二、设置linux防火墙 一.二.一 /etc/sysconfig/iptables 添加 -A RH-Firewall-一-INPUT -m state --state NEW -m tcp -p tcp --dport 吧0 -j ACCEPT 允许吧0端口访问 一.二.二 linuxweb服务添加进入信任服务 系统->管理->安全级别防火墙->防火墙选项->至美(http)打钩 二:VMware问题:否端口映射问题 二.一、设置VMware端口映射 要吧0端口打要VMwareEdit->Virtual Network Editor->NAT(选择VMnet吧)->Edit->Port Forwarding添加映射 host port:吧0virtual machine IP address:一9二.一陆吧.二5四.一二吧Port:吧0 三、windows问题:否windows防火墙问题 四.一、windows主机设置防火墙 window进入控制面板->windows防火墙->高级->设置VMware Network Adapter VMnet吧->Web 服务器(HTTP)->虚拟机ip加入:一9二.一陆吧.二5四.一二
㈣ Linux大神进!iptables怎样配置web服务器的80端口才能访问网站
再看一下其他的规则:
iptables -t nat -L
关闭防火墙后,还不行,说明不是防火墙的问题,看看80端口有无被占用,还有selinux的问题,关了试试。
㈤ Linux防火墙iptables限制几个特定ip才能访问服务器。
linux下要使用iptables限制只有指定的ip才能访问本机则需要先设置一个默认的规则
iptables有默认的规则,它可以适用于所有的访问
因为只有指定或特定的ip地址才能访问本机
所以可以将默认的规则设置为所有访问全部阻止(当然这里需要注意下,如果你要设置的机器是在远端,比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单,否则在设置完默认阻止后你也无法访问这台服务器,也无法再进行操作了,我们可以使用分号;或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单,假如你的ip地址为1.2.3.4则可以这样输入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT,或者也可以指定一个端口)
设置默认规则后则可以添加白名单了
比如允许2.3.4.5访问则可以
iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT
如果要限定的不是整个服务器而只是该服务器中的某个服务
比如web服务(一般端口在80,https在443)
则我们可以使用0.0.0.0/0来阻止所有的ip地址
比如
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
以及
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP
来阻止所有访问web服务器的ip地址
然后再添加指定的ip到白名单
比如添加1.2.3.4,我们可以
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT
如果我们允许某个网段下的所有ip都可以访问的话比如1.2.3.[0-255],我们可以
iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT
总之不管是阻止所有的服务还是只阻止指定的服务
我们可以先将默认的规则设置为所有ip都不可访问
然后再手动添加ip地址到白名单
㈥ iptables web服务器规则
新建一个shell脚本
vi firewall.sh
将下面的内容,从“内容开始”至“内容结束”全部复制添加到上面的脚本文件中。
注意将下面内容中的一个内容替换--{你的源IP} 替换成你的源IP。如果你的源IP是动态的,建议将开放80那样开放它。
------------------------------------------内容开始
#!/bin/sh
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
#以上命令为载入模块
iptables -P INPUT DROP
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
#以上命令为设置默认规则----禁止所有,注意会清空原有规则,请注意原有规则的保存备份。
################################add tointernet##########################
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 8080 -j ACCEPT
################################add tointernet##########################
#以上规则的意思是,开放你服务器对外访问的回程允许,如果你的服务器不需要对外访问,请删除
#
#
################################add manager#############################
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s {你的源IP} -p 0 -j ACCEPT
################################add manager#############################
#以上的规则的意思是,开放你的管理客户端的所有通讯(当然包括22端口啦),但除了这个源IP外,其它任何IP都访问该服务器的22端口了
#
#
################################add 80##################################
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
################################add 80##################################
#开放外网所有访问你的80
#如果你的MYSQL或其它服务需要对外开放,请按上面的格式添加
#
#
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart
------------------------------------------内容结束
保存shell脚本文件。
通过下面的命令,将脚本执行
/bin/sh firewall.sh
看到OK状态后,通过下面的命令检查IPTABLES状态
iptables -L -n
--------------------------------------
注:因为要做端口映射,这两天内都在搞IPTABLES,上面算是搞了两天的一点点成果,见笑了,:)
㈦ 如何用iptables来防止web服务器被CC攻击
CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观。(网络)
CC攻击防护基本原理是防止一个IP多次不断刷新而断开与该IP得连接,防止服务器瘫痪,达到了防攻击目的。
网站安全狗有CC防护功能,开启即可防护。也允许用户设置CC攻击防护规则。允许用户设置“访问规则”、“会话验证规则”、“代理规则”、“不受防护的网站"(网站白名单)等。
㈧ WEB服务器如何配置iptables设置80端口
修改iptables配置文件,添加访问规则:
(1)、打开文件:vi /etc/sysconfig/iptables
(2)、添加规则(放行80端口):-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
(3)、保存退出:按esc,:wq!
(4)、重启防火墙,使规则生效:service iptables restart
这才是正确的方法
㈨ linux iptables 做内网访问规则,怎么做
行了,应该在/etc/network/下子文件夹中的某个配置文件,但是事实上,因为linux有防火墙,所以事实上需要在防火墙的forward链上做转发,因为数据包是先碰到防火墙过滤后才进入内核空间,如果在防火墙转发,那个设置内核的端口转发就没什么意义了。
补充回答:
声明:本人主要使用的是debian系统,对于红帽不是非常熟悉,所以在配置文件的路径及命名上和你的实际情况会有出入,请酌情更改!!
首先,你需要更改/etc/sysctl.conf这个文件,找到如下行:
net.ipv4.ip_forward = 0
把0改成1打开内核转发,然后用source命令重读该配置文件。
然后你需要用以下命令打开forward链上所有的转发,这里只给你简单的实现forward,并没实现保护LAN的防火墙功能,请参阅参考资料获得iptables的详细配置方法!
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
service iptables save
service iptables restart
附注:
man iptables
命令格式:
# iptables [-t 表名] 命令 [链] [规则号] [条件] [规则]
说明:⑴ -t 表名 指定规则所在的表。表名可以是 filter ,nat ,mangle (小写)
⑵ 命令 (iptables的子命令)
-A 在指定链中添加规则
-D 在指定链中删除指定规则
-R 修改指定链中指定规则
-I 在指定规则前插入规则
-L 显示链中的规则
-N 建立用户链
-F 清空链中的规则
-X 删除用户自定义链
-P 设置链的默认规则
-C 用具体的规则链来检查在规则中的数据包
-h 显示帮助
⑶ 条件
–i 接口名 指定接收数据包接口
-o 接口名 指定发送数据包接口
-p [!]协议名 指定匹配的协议 (tcp , udp , icmp , all )
-s [!]ip地址 [/mask] 指定匹配的源地址
--sport [!]端口号 [:端口号] 指定匹配的源端口或范围
-d [!]ip地址 [/mask] 指定匹配的目标地址
--dport [!]端口号 [:端口号] 指定匹配的目标端口或范围
--icmp –type [!]类型号/类型名 指定icmp包的类型
注:8 表示request 0 表示relay (应答)
-m port --multiport 指定多个匹配端口
limit --limit 指定传输速度
mac --mac-source 指定匹配MAC地址
sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的状态
注:以上选项用于定义扩展规则
-j 规则 指定规则的处理方法
⑷ 规则
ACCEPT :接受匹配条件的数据包(应用于I NPUT ,OUTPUT ,FORWARD )
DROP :丢弃匹配的数据包(应用于INPUT ,OUTPUT ,FORWARD )
REJECT :丢弃匹配的数据包且返回确认的数据包
MASQUERADE :伪装数据包的源地址(应用于POSTROUTING且外网地址
为动态地址,作用于NAT )
REDIRECT :包重定向 (作用于NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 端口号 )
TOS : 设置数据包的TOS字段(应用于MANGLE,要加上--set-tos 值)
SNAT : 伪装数据包的源地址(应用于NAT表中POSTROUTING链,要加上--to-source ip地址 [ip地址] )
DNAT : 伪装数据包的目标地址(应用于NAT表中PREROUTING链,要加上--to-destination ip地址 )
LOG :使用syslog记录的日志
RETURN :直接跳出当前规则链
3. iptables子命令的使用实例
⑴ 添加规则
#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP
(拒绝192.168.0.3主机发送icmp请求)
# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP
(拒绝192.168.0.0网段ping 防火墙主机,但允许防火墙主机ping 其他主机)
# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP
(拒绝防火墙主机向192.168.0.0网段发送icmp应答,等同于上一条指令)
# iptables –A FORWARD –d -j DROP
(拒绝转发数据包到,前提是必须被解析)
# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1
(NAT,伪装内网192.168.0.0网段的的主机地址为外网211.162.11.1,这个公有地址,使内网通过NAT上网,前提是启用了路由转发)
# iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5
(把internet上通过80端口访问211.168.11.1的请求伪装到内网192.168.0.5这台WEB服务器,即在iptables中发布WEB服务器,前提是启用路由转发)
# iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT
(保留IP地址,绑定 IP地址与MAC地址)
⑵删除规则
# iptables –D INPUT 3
# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT
⑶插入规则
# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP
# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP
⑷修改规则
# iptables –R INPUT 1 –s 192.168.0.2 –j DROP
⑸显示规则
# iptables –L (默认表中的所有规则)
# iptables –t nat –L POSTROUTING
⑹清空规则
# iptables –F
# iptables –t nat –F PREROUTING
⑺设置默认规则
# iptables –P INPUT ACCEPT
# iptables –t nat –P OUTPUT DROP
(注:默认规则可以设置为拒绝所有数据包通过,然后通过规则使允许的数据包通过,这种防火墙称为堡垒防火墙,它安全级别高,但不容易实现;也可以把默认规则设置为允许所有数据包通过,即鱼网防火墙,它的安全级别低,实用性较差。)
⑻建立自定义链
# iptables –N wangkai
⑼删除自定义链
# iptables –X wangkai
⑽应用自定义链
# iptables –A wangkai –s 192.168.0.8 –j DROP
# iptables –A INPUT –j wangkai
(注:要删除自定义链,必须要确保该链不被引用,而且该链必须为空,如要删除上例定义的自定义链方法为:
# iptables –D INPUT –j wangkai
# iptables -F wangkai
# iptables -X wangkai
另外,团IDC网上有许多产品团购,便宜有口碑
㈩ 请问关于一条iptables规则配置,实现web地址跳转
假设: 内网是172.16.0.0/16这个网络, WEB服务器是172.16.0.1,策略如下:
iptables -t nat PREROUTING -s 172.16.0.0/16 -p tcp --dport 80 -j DNAT --to 172.16.0.1
这样的话,访问任何网站都会转到172.16.0.1这台服务器上。
注意,要在iptables主机上开启路由转发。
如果不行,可以再加上以下策略:
iptables -t nat -A POSTROUTING -j MASQUERADE
不过一般不需要的。