Linux
01.系统维护
CPU
内存
drop_cache为什么有些不释放
swap交换分区
磁盘
lvm磁盘扩容
文件夹加密ecryptfs-utils
linux挂载ISCSI磁盘
创建lvm
fstab挂载文件系统
systemd.mount
存储故障
曲线为目录配置限额
lvm缩容
进程
如何找到某一个正在运行的进程?
CRIU进程快照
网络
TCP连接的10种状态
Ubuntu禁用ipv6
close_wait数量过多阻塞网络连接
IP地址与二进制转换
支持ACME的DNS服务器PowerDNS
系统
CentOS版本及对应默认内核版本
修改shell语言
系统启动流程
cgroup
CentOS7升级内核并开启BBR
配置内核参数优化linux
更新grub2默认启动的内核
CentOS-SCLo源
修改键盘映射
Debian12升级时内核编译错误
timesync(ntp)
内核
drop_caches
软件
更新openssl
GUI
Gnome Workspace Names
02.系统安全
Auditd审计服务配置
ssh登陆免公钥验证
恶意脚本处置
2023挖矿脚本m0nad
为ssh服务添加多因子认证
03.基本概念
Out Of Memory
70.QEMU
磁盘格式转换
80.LFS
90.常用脚本
使用except修改操作系统密码
init.d脚本模板
shell脚本判断参数数量
安装oh-my-zsh
systemd脚本模板
端口测试
适用于truenas的ipv6阿里云ddns脚本
更新nginx白名单
将文件改名为md5值
djvu转换为pdf并ocr
99.常用命令
man page中命令后的数字释义
tcpdump
nslookup
nc
rsync
awk
sed
echo
rm
tar
chage
auditctl
ausearch
ab
openssl
parted
find
date
firewall-cmd
sort
vmstat
nice-调整进程的优先级
top
taskset-进程绑定CPU核心
iptables
iostat
sysctl
tr
rpmbuild
转载nginx.spec含说明
安装使用rpmbuild
unpacked files found
grep
vimtutor
tlinux - tos
snmpwalk
chattr
本文档使用 MrDoc 发布
-
+
首页
iptables
# iptables ## 说明 - iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw. - prerouting:进入netfilter后的数据包在进入路由判断前执行的规则。改变包。 - Input:当经过路由判断后,要进入本机的数据包执行的规则。 - output:由本机产生,需向外发的数据包执行的规则。 - forward:经过路由判断后,目的地不是本机的数据包执行的规则。与nat 和 mangle表相关联很高,与本机没有关联。 - postrouting:经过路由判断后,发送到网卡接口前。即数据包准备离开netfilter时执行的规则。 - 4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter - filter:一般的过滤功能 - nat:用于nat功能(端口映射,地址映射等) - mangle:用于对特定数据包的修改 - raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能 - 表与链之间的关系 | 表 | 链 | | :-----: | :---------------------------------------------: | | filter | FORWARD、INPUT、 OUTPUT | | nat | PREROUTING、POSTROUTING、OUTPUT | | mangle | PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD | | raw | PREROUTING、OUTPUT | ![](/media/202108/2021-08-19_181142.png) ## 转发内网oracle到外网 - 内网oracle: - 内网IP:2.2.2.2 - 转发服务器: - 内网IP:2.2.2.1 - 外网IP:1.1.1.1 1. 检查系统是否允许转发ipv4数据包 输出`net.ipv4.ip_forward = 1`即为允许 ``` [root@ecard-web1-smartcardweb ~]# sysctl -p |grep "ipv4.ip_forward" net.ipv4.ip_forward = 1 ``` 2. 检查FORWARD规则 如果IPTABLES未允许FORWARD转发链的话,即使配置了dnat和snat也无法访问转发的端口的,下面的输出意味着允许任何转发规则。 ``` [root@ecard-web1-smartcardweb ~]# iptables -L FORWARD|grep -v ^Chain |grep ^ACCEPT ACCEPT all -- anywhere anywhere ``` 如果没有允许,则执行 ``` iptables -I FORWARD -j ACCEPT ``` 3. 配置转发 在转发服务器上面操作 ``` iptables -t nat -A PREROUTING -p tcp --dport 11521 -j DNAT --to-destination 2.2.2.2:1521 iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 1521 -j SNAT --to-source 2.2.2.1 iptables -t nat -A POSTROUTING -j MASQUERADE ``` ## INPUT规则 - 允许单个源IP访问本机全部端口 ``` iptables -I INPUT -s 1.1.1.1/32 -j ACCEPT ``` - 允许源IP段访问本机全部端口 ``` iptables -I INPUT -s 1.1.1.0/24 -j ACCEPT ``` - 允许范围源IP访问本机全部端口 ``` iptables -I INPUT -m iprange --src-range 1.1.1.1-1.1.1.3 -j ACCEPT ``` - 允许全部源访问某个端口 ``` iptables -I INPUT -p tcp --dport 22 -j ACCEPT # 或 iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT ``` - 允许全部源访问端口范围 ``` iptables -I INPUT -p tcp --dport 10000:20000 -j ACCEPT # 或 iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 10000:20000 -j ACCEPT ```
zhangky
2021年11月2日 17:01
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
关于 MrDoc
觅思文档MrDoc
是
州的先生
开发并开源的在线文档系统,其适合作为个人和小型团队的云笔记、文档和知识库管理工具。
如果觅思文档给你或你的团队带来了帮助,欢迎对作者进行一些打赏捐助,这将有力支持作者持续投入精力更新和维护觅思文档,感谢你的捐助!
>>>捐助鸣谢列表
微信
支付宝
QQ
PayPal
Markdown文件
分享
链接
类型
密码
更新密码