亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区

使用 Iptables 來控制網(wǎng)絡(luò)流量

在進一步深入之前，或許你需要參考 Linux 基金會認證工程師（Linux Foundation Certified Engineer,LFCE） 系列中的 配置 Iptables 防火墻 – Part 8 來復(fù)習(xí)你腦中有關(guān) iptables 的知識。

例 1：同時允許流入和流出的網(wǎng)絡(luò)流量

TCP 端口 80 和 443 是 Apache web 服務(wù)器使用的用來處理常規(guī)（HTTP）和安全（HTTPS）網(wǎng)絡(luò)流量的默認端口。你可以像下面這樣在 enp0s3 接口上允許流入和流出網(wǎng)絡(luò)流量通過這兩個端口：

1. # iptables -A INPUT -i enp0s3 -p tcp --dport 80-m state --state NEW,ESTABLISHED -j ACCEPT
2. # iptables -A OUTPUT -o enp0s3 -p tcp --sport 80-m state --state ESTABLISHED -j ACCEPT
3. # iptables -A INPUT -i enp0s3 -p tcp --dport 443-m state --state NEW,ESTABLISHED -j ACCEPT
4. # iptables -A OUTPUT -o enp0s3 -p tcp --sport 443-m state --state ESTABLISHED -j ACCEPT

例 2：從某個特定網(wǎng)絡(luò)中阻擋所有（或某些）流入連接

或許有時你需要阻擋來自于某個特定網(wǎng)絡(luò)的所有（或某些）類型的來源流量，比方說 192.168.1.0/24：

1. # iptables -I INPUT -s 192.168.1.0/24-j DROP

上面的命令將丟掉所有來自 192.168.1.0/24 網(wǎng)絡(luò)的網(wǎng)絡(luò)包，而

1. # iptables -A INPUT -s 192.168.1.0/24--dport 22-j ACCEPT

將只允許通過端口 22 的流入流量。

例 3：將流入流量重定向到另一個目的地

假如你不僅使用你的 RHEL 7 機子來作為一個軟件防火墻，而且還將它作為一個硬件防火墻，使得它位于兩個不同的網(wǎng)絡(luò)之間，那么在你的系統(tǒng)上 IP 轉(zhuǎn)發(fā)一定已經(jīng)被開啟了。假如沒有開啟，你需要編輯 /etc/sysctl.conf 文件并將 net.ipv4.ip_forward 的值設(shè)為 1，即：

1. net.ipv4.ip_forward =1

接著保存更改，關(guān)閉你的文本編輯器，并最終運行下面的命令來應(yīng)用更改：

1. #sysctl-p /etc/sysctl.conf

例如，你可能在一個內(nèi)部的機子上安裝了一個打印機，它的 IP 地址為 192.168.0.10，CUPS 服務(wù)在端口 631 上進行監(jiān)聽（同時在你的打印服務(wù)器和你的防火墻上）。為了從防火墻另一邊的客戶端傳遞打印請求，你應(yīng)該添加下面的 iptables 規(guī)則：

1. # iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631-j DNAT --to 192.168.0.10:631

請記住 iptables 會逐條地讀取它的規(guī)則，所以請確保默認的策略或后面的規(guī)則不會重載上面例子中那些規(guī)則。