# 禁止ping通,别人和自己都不能ping网络了
iptables -t filter -D INPUT -p icmp -j DROP
#查看规则, 并且显示行号, -L 列表, -n 显示端口号,默认不显示带数字的东西, --line-number 显示行号
iptables -L -n --line-number
# 删除第三条规则, 可以--line-number看规则排序
iptables -t filter -D 3
# 拒绝一条规则
iptables -t filter -I INPUT -p icmp -j REJECT
# 最佳一条规则
iptables -t filter -A INPUT -p 3306 -j DROP
# flush 清空所有规则
iptables -F
# 拒绝来源地址: 172.16.63.29 访问, 这里ssh,ping都不会通的
iptables -I INPUT -s 172.16.63.29 -j REJECT
#禁用一个网段
iptables -I INPUT -s 192.168.1.0/24 -j REJECT
# 丢弃网卡接口的包
iptables -I INPUT -i eth0 -j DROP
# 来源192.168.1.11 能够访问 80 端口
iptables -I INPUT -s 192.168.1.11 -p tcp --dport 80 -j ACCEPT
# 丢弃192.168.1.11 访问21端口连接
iptables -I INPUT -s 192.168.1.11 -p tcp --dport 21 -j DROP
# 不写-t 默认就是filter, 禁止所有人ping通
iptables -I INPUT -p icmp -j DROP
# 自己可以ping别人,别人不能ping自己
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
# 自己不能ping别人,但是别人可以ping自己
iptables -I INPUT -p icmp --icmp-type 0 -j DROP
# 默认规则是拒绝, 这个不要轻易设置,不然ssh都连不上了, 默认是ACCEPT
iptables -P INPUT DROP
##### 这里是SNAT
# 设置一个snat, 把源地址192.168.100.0/24 转为 192.168.200.10, snat 内网访问外网
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 192.168.200.10
# 把内网私有地址伪装一下, 然后他就可以访问了192.168.200.10地址了, 因为他出口是ens33, 和192.168.200.10是一个网段里面的,就可以伪装ping通了
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
#### 这里是DNAT, -i 进来的时候 -d 目标地址, --dport: 目标端口
iptables -t nat -A PREROUTING -i ens33 -d 192.168.200.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10
#### PNAT 端口映射, 把原来访问8080端口的地址,改为 80 端口, 也是另外一个DNAT地址的用法,这个更安全一点
iptables -t nat -A PREROUTING -i ens33 -d 192.168.200.10 -p tcp --dport 8080 -j DNAT --to-destination 192.168.100.10:80
网友评论