??如果你想擁有你從未擁有過的東西，那么你必須去做你從未做過的事情

????????防火墻在運(yùn)維工作中有著不可或缺的重要性。首先，它是保障網(wǎng)絡(luò)安全的關(guān)鍵防線，通過設(shè)置訪問控制規(guī)則，可精準(zhǔn)過濾非法網(wǎng)絡(luò)流量，有效阻擋外部黑客攻擊、惡意掃描以及病毒入侵等，讓運(yùn)維人員無需時(shí)刻憂心外部威脅對業(yè)務(wù)造成破壞，確保網(wǎng)絡(luò)及系統(tǒng)穩(wěn)定運(yùn)行。其次，在合規(guī)管理方面能發(fā)揮重要作用，依據(jù)各行業(yè)的網(wǎng)絡(luò)安全相關(guān)要求，協(xié)助運(yùn)維人員制定相應(yīng)訪問策略，使網(wǎng)絡(luò)配置符合法規(guī)政策，避免因不合規(guī)而面臨處罰，助力企業(yè)順利通過安全審計(jì)。再者，能幫助實(shí)現(xiàn)網(wǎng)絡(luò)分區(qū)管理，劃分出不同安全區(qū)域，便于對企業(yè)內(nèi)部不同部門、業(yè)務(wù)模塊進(jìn)行精細(xì)化的網(wǎng)絡(luò)訪問控制，防止內(nèi)部風(fēng)險(xiǎn)擴(kuò)散，優(yōu)化整體運(yùn)維架構(gòu)。最后，當(dāng)網(wǎng)絡(luò)出現(xiàn)異常時(shí)，防火墻記錄的詳細(xì)日志可提供關(guān)鍵線索，方便運(yùn)維人員快速定位故障源頭，高效解決問題，恢復(fù)業(yè)務(wù)正常運(yùn)轉(zhuǎn)，所以我們今天介紹一下iptables~~~~

目錄

一、防火墻介紹

二、IPtables四表五鏈

1、四表

2、五鏈

三、iptables命令

四、iptables防火墻案例

案例1、禁止訪問10.0.0.61的22端口

案例2：刪除規(guī)則

案例3： 限制來源IP地址

案例4：限制網(wǎng)段

案例5：限制80端口

案例6:限制10.0.0.7不能訪問61的80端口

案例7：對源IP進(jìn)行取反

案例8：修改默認(rèn)的規(guī)則

案例9：多端口配置

案例10：禁ping

案例11：iptables的保持與恢復(fù)

案例12： 使用IPtables實(shí)現(xiàn)共享上網(wǎng)

服務(wù)端設(shè)置：

客戶端設(shè)置：

案例13.IP地址映射

💬歡迎交流：在學(xué)習(xí)過程中如果你有任何疑問或想法，歡迎在評論區(qū)留言，我們可以共同探討學(xué)習(xí)的內(nèi)容。你的支持是我持續(xù)創(chuàng)作的動力！

👍點(diǎn)贊、收藏與推薦：如果你覺得這篇文章對你有所幫助，請不要忘記點(diǎn)贊、收藏，并分享給更多的小伙伴！你們的鼓勵是我不斷進(jìn)步的源泉！

🚀推廣給更多人：如果你認(rèn)為這篇文章對你有幫助，歡迎分享給更多對Linux感興趣的朋友，讓我們一起進(jìn)步，共同提升！

一、防火墻介紹

Linux的防火墻體系主要工作在網(wǎng)絡(luò)層，針對TCP/IP數(shù)據(jù)包進(jìn)行過濾和限制，屬于典型的包過濾防火墻。它基于內(nèi)核編碼實(shí)現(xiàn)，具有非常穩(wěn)定的性能和高效率，也因此得到了廣泛的應(yīng)用。防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，旨在保護(hù)內(nèi)部網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問以及潛在的網(wǎng)絡(luò)威脅，以下是關(guān)于防火墻的介紹：
?
### 基本功能
1. 訪問控制：依據(jù)預(yù)設(shè)的規(guī)則，對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行篩選，決定哪些數(shù)據(jù)包可以通過，哪些需要被攔截。例如，只允許特定 IP 地址段的設(shè)備訪問內(nèi)部某服務(wù)器的特定端口，而拒絕其他來源的訪問請求，以此嚴(yán)格把控網(wǎng)絡(luò)訪問權(quán)限。
2.防止非法入侵：能夠識別并阻止外部網(wǎng)絡(luò)中的惡意攻擊行為，像常見的黑客掃描、端口入侵嘗試等。通過檢測異常的網(wǎng)絡(luò)連接模式、可疑的數(shù)據(jù)包特征等，將潛在的入侵行為阻擋在網(wǎng)絡(luò)外部，保障內(nèi)部網(wǎng)絡(luò)環(huán)境的安全穩(wěn)定。
3.網(wǎng)絡(luò)隔離：可以把不同安全級別的網(wǎng)絡(luò)區(qū)域分隔開來，比如將企業(yè)內(nèi)部的辦公區(qū)網(wǎng)絡(luò)、研發(fā)區(qū)網(wǎng)絡(luò)、服務(wù)器區(qū)網(wǎng)絡(luò)等根據(jù)各自的安全需求進(jìn)行劃分，限制不同區(qū)域間的非必要網(wǎng)絡(luò)通信，防止安全風(fēng)險(xiǎn)在內(nèi)部網(wǎng)絡(luò)間擴(kuò)散。
?
### 主要類型
1. 包過濾防火墻：工作在網(wǎng)絡(luò)層，基于數(shù)據(jù)包的源 IP 地址、目的 IP 地址、端口號、協(xié)議類型等信息進(jìn)行過濾。它會檢查每個(gè)經(jīng)過的數(shù)據(jù)包，對照預(yù)先配置好的規(guī)則表來決定是放行還是丟棄該數(shù)據(jù)包，iptables 就是典型的基于這種機(jī)制的工具，這種防火墻處理速度相對較快，但對應(yīng)用層的內(nèi)容理解有限。
2. 狀態(tài)檢測防火墻：不僅會檢查數(shù)據(jù)包的基本信息，還會跟蹤網(wǎng)絡(luò)連接的狀態(tài)。比如對于一個(gè)已經(jīng)建立的 TCP 連接，后續(xù)屬于該連接的數(shù)據(jù)包會依據(jù)其狀態(tài)被快速放行，它能更智能地識別正常的網(wǎng)絡(luò)通信流程以及異常的連接嘗試，相比單純的包過濾防火墻安全性更高，應(yīng)用場景也更為廣泛。
3. 應(yīng)用層防火墻：也被稱作代理防火墻，運(yùn)行在應(yīng)用層，能夠深入理解應(yīng)用層協(xié)議的內(nèi)容。例如，對于 HTTP 請求，它可以檢查請求的具體內(nèi)容、URL 等是否符合安全規(guī)定，對外隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)情況，用戶的網(wǎng)絡(luò)請求先經(jīng)過它進(jìn)行代理轉(zhuǎn)發(fā)，起到了很好的安全防護(hù)和隱私保護(hù)作用，但由于要解析應(yīng)用層內(nèi)容，其處理性能往往相對較低。
?
### 部署位置與應(yīng)用場景
1. 邊界部署：常被部署在企業(yè)網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)等與外部互聯(lián)網(wǎng)的連接處，作為第一道防線，阻擋來自外部網(wǎng)絡(luò)的各種安全威脅，保護(hù)內(nèi)部眾多的網(wǎng)絡(luò)資源，如服務(wù)器、辦公終端等。
2. 內(nèi)部網(wǎng)絡(luò)隔離：在大型網(wǎng)絡(luò)內(nèi)部，不同部門、不同安全等級區(qū)域之間也會部署防火墻，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全分區(qū)管理，避免內(nèi)部的誤操作、惡意行為等對關(guān)鍵區(qū)域造成影響，像防止普通辦公區(qū)的網(wǎng)絡(luò)問題波及到存放核心數(shù)據(jù)的服務(wù)器區(qū)。
?
### 發(fā)展趨勢
1. 智能化：隨著人工智能和機(jī)器學(xué)習(xí)技術(shù)的發(fā)展，防火墻能夠通過分析大量的網(wǎng)絡(luò)流量數(shù)據(jù)，自動學(xué)習(xí)和識別新出現(xiàn)的網(wǎng)絡(luò)威脅模式，不斷優(yōu)化自身的防護(hù)規(guī)則，提升應(yīng)對未知威脅的能力。
2. 云化：在云計(jì)算環(huán)境蓬勃發(fā)展的當(dāng)下，云防火墻應(yīng)運(yùn)而生，它可以更好地適配云環(huán)境下的動態(tài)網(wǎng)絡(luò)架構(gòu)、多租戶等特點(diǎn)，為云資源的安全防護(hù)提供有力保障，方便企業(yè)在云端進(jìn)行靈活的網(wǎng)絡(luò)安全配置。
總之，防火墻在保障網(wǎng)絡(luò)安全方面起著至關(guān)重要的作用，是構(gòu)建安全網(wǎng)絡(luò)環(huán)境不可或缺的一環(huán)。
?
以下是一些市面上常見的防火墻產(chǎn)品
### 硬件防火墻產(chǎn)品
1、華為 USG6000E 系列：性能穩(wěn)定可靠，具備強(qiáng)大的安全防護(hù)能力，可有效抵御多種網(wǎng)絡(luò)攻擊。例如 USG6306 支持 4GE+2Combo 固定接口，IPSec 吞吐量性能良好，適用于中小企業(yè)等網(wǎng)絡(luò)環(huán)境。
2、深信服 AF 系列：如 AF-1000-FH1300B，功能豐富，界面友好，提供應(yīng)用層防護(hù)、入侵檢測、防病毒等多種安全功能，適用于不同規(guī)模的企業(yè)網(wǎng)絡(luò)。
3、銳捷網(wǎng)絡(luò) RG-WALL 1600 系列：以 RG-WALL 1600-S3200 為例，支持多種 VPN 類型和加密算法，具備狀態(tài)檢測包過濾、應(yīng)用層檢測等功能，可有效提升網(wǎng)絡(luò)安全性和數(shù)據(jù)傳輸效率。
4、H3C SecPath F1000 系列：像 F1000-AK1150 支持多種 VPN 協(xié)議和 SOP 虛擬防火墻技術(shù)，能防御多種網(wǎng)絡(luò)攻擊，可優(yōu)化網(wǎng)絡(luò)應(yīng)用，保障網(wǎng)絡(luò)流暢性和安全性。
5、天融信 NGFW4000-UF：在穩(wěn)定性、性能和合規(guī)性方面表現(xiàn)突出，主要服務(wù)于政府、金融、電信等對網(wǎng)絡(luò)安全要求較高的行業(yè)，能提供全面的網(wǎng)絡(luò)安全防護(hù)。
?
### 軟件防火墻產(chǎn)品
1、ZoneAlarm Pro：可以防止特洛伊木馬程序等惡意軟件的入侵，用戶可方便地設(shè)置哪些軟件可以訪問網(wǎng)絡(luò)，基本版免費(fèi)，適合個(gè)人用戶和小型企業(yè)。
2、Outpost Firewall Pro：功能強(qiáng)大，包括廣告和圖片過濾、內(nèi)容過濾、DNS 緩存等功能，不需復(fù)雜配置即可使用，且是市場上第一個(gè)支持插件的防火墻，可擴(kuò)展性強(qiáng)。
3、Norton Personal Firewall：由 Norton 公司出品，能提供完整的網(wǎng)絡(luò)安全防護(hù)，防止重要資料被竊，可過濾網(wǎng)站，阻隔 Java applets、ActiveX 控制等網(wǎng)絡(luò)入侵方式。
4、McAfee Personal Firewall Plus：可以在電腦與互聯(lián)網(wǎng)之間建立屏障，防止?jié)撛诘暮诳吞綔y及攻擊，讓防毒工作更完備，還能提供有關(guān)可疑網(wǎng)絡(luò)流量的詳細(xì)資訊。
5、Sygate Personal Firewall Pro：簡單易用，適合網(wǎng)絡(luò)中的單機(jī)用戶防止入侵者非法進(jìn)入系統(tǒng)，可從系統(tǒng)內(nèi)部進(jìn)行保護(hù)，提供安全訪問和訪問監(jiān)視功能，檢測到入侵能立即發(fā)出警報(bào)。
?
### 云防火墻產(chǎn)品
1、深信服云防火墻：能夠與深信服的其他云安全產(chǎn)品進(jìn)行深度融合，提供一站式的云安全解決方案，支持多租戶管理，可根據(jù)不同租戶的需求定制安全策略。
2、天融信云防火墻：在云環(huán)境下具備強(qiáng)大的安全防護(hù)能力，可提供網(wǎng)絡(luò)訪問控制、入侵檢測、漏洞掃描等多種安全服務(wù)，保障云資源的安全。
3、飛塔云防火墻：具有創(chuàng)新性、智能性和靈活性，能適應(yīng)云環(huán)境的動態(tài)變化，可實(shí)現(xiàn)自動化的安全策略部署和管理，為云應(yīng)用提供安全保障。
4、山石網(wǎng)科云防火墻：基于其高性能、高可靠的技術(shù)優(yōu)勢，為云平臺提供全面的安全防護(hù)，支持對云平臺中的虛擬機(jī)、容器等資源進(jìn)行細(xì)粒度的訪問控制。
5、阿里云防火墻和阿里云盾web防火墻：阿里云防火墻，云原生的云上邊界網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，可提供統(tǒng)一的互聯(lián)網(wǎng)邊界、NAT 邊界、VPC 邊界、主機(jī)邊界流量管控與安全防護(hù)。阿里云盾web防火墻主要為網(wǎng)站提供安全保護(hù)的云服務(wù)，主要針對 Web 應(yīng)用層面的安全防護(hù)。
?
?
###iptables防火墻
今天給大家介紹一下iptables防火墻，iptables 是 Linux 操作系統(tǒng)中一個(gè)功能強(qiáng)大且應(yīng)用廣泛的防火墻工具，主要用于對進(jìn)出系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行管控，依據(jù)設(shè)定的規(guī)則來決定是允許數(shù)據(jù)包通過、拒絕數(shù)據(jù)包，還是對數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換、修改等操作，以此構(gòu)建起系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)機(jī)制以及實(shí)現(xiàn)特定的網(wǎng)絡(luò)功能配置，contOS6以前的linux系統(tǒng)默認(rèn)使用的iptables防火墻，contOS7及以后版本，默認(rèn)使用firewalld防火墻；麒麟操作系統(tǒng)同時(shí)內(nèi)置了iptables防火墻和 firewalld防火墻同時(shí)使用，之前咱們搭建LNMP架構(gòu)時(shí)因?yàn)檫@個(gè)被坑過，只關(guān)閉了一個(gè)導(dǎo)致80端口無法訪問。

二、IPtables四表五鏈

1、四表

表名稱	功能	內(nèi)核模塊
filter表	負(fù)責(zé)過濾功能，防火墻	iptables filter
nat表（Network,Adffress,Translation）	用于網(wǎng)絡(luò)地址轉(zhuǎn)換（IP，端口）	iptables net
mangle表	拆解報(bào)文，做出修改，封裝報(bào)文	iptables mangle
raw表	關(guān)閉nat表上啟用的連接追蹤機(jī)制，確定是否對該數(shù)據(jù)包進(jìn)行狀態(tài)跟蹤	iptable raw

2、五鏈

名稱	功能
PREROUTING	數(shù)據(jù)包進(jìn)入路由之前
INPUT	目的地址為本機(jī)
OUTPUT	原地址為本機(jī)，向外發(fā)送
FORWARD	實(shí)現(xiàn)轉(zhuǎn)發(fā)
POSTROUTING	發(fā)送到網(wǎng)卡之前

三、iptables命令

查看默認(rèn)防火墻規(guī)則：
[root@m01 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
ACCEPT ? ? all ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  state RELATED,ESTABLISHED
ACCEPT ? ? icmp -- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ? 
ACCEPT ? ? all ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ? 
ACCEPT ? ? tcp ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  state NEW tcp dpt:22
REJECT ? ? all ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  reject-with icmp-host-prohibited
?
Chain FORWARD (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
REJECT ? ? all ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  reject-with icmp-host-prohibited
?
Chain OUTPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination 
清空默認(rèn)的規(guī)則
[root@m01 ~]#iptables -F
[root@m01 ~]#iptables -Z
[root@m01 ~]#iptables -X
[root@m01 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
?
Chain FORWARD (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
?
Chain OUTPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? 

四、iptables防火墻案例

案例1、禁止訪問10.0.0.61的22端口

[root@m01 ~]#iptables -I INPUT -p tcp --dport 22 -j DROP
[root@m01 ~]#
Connection closed.

案例2：刪除規(guī)則

[root@m01 ~]# iptables -I INPUT -s 10.0.0.1 -j ACCEPT
Chain INPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
ACCEPT ? ? all ?-- ?10.0.0.1 ? ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ? 
DROP ? ? ? tcp ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  tcp dpt:22
?
Chain FORWARD (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
?
Chain OUTPUT (policy ACCEPT)
target ? ? prot opt source ? ? ? ? ? ? ? destination 
刪除規(guī)則的方法
1，序號刪除
查看編號信息
Chain INPUT (policy ACCEPT)
num  target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
1 ?  ACCEPT ? ? all ?-- ?10.0.0.1 ? ? ? ? ? ? 0.0.0.0/0 ? ? ? ? ? 
2 ?  DROP ? ? ? tcp ?-- ?0.0.0.0/0 ? ? ? ? ? ?0.0.0.0/0 ? ? ? ? ?  tcp dpt:22
刪除INPUT鏈的第二條規(guī)則
[root@m01 ~]#iptables -D INPUT 2
[root@m01 ~]#iptables -nL --line
Chain INPUT (policy ACCEPT)
num  target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
1 ?  ACCEPT ? ? all ?-- ?10.0.0.1 ? ? ? ? ? ? 0.0.0.0/0 
2,將I或者A替換成D（禁止61的22端口已經(jīng)刪了，只能刪放通的）
[root@m01 ~]#iptables -D INPUT -s 10.0.0.1 -j ACCEPT
[root@m01 ~]#iptables -nL --line
Chain INPUT (policy ACCEPT)
num  target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
Chain FORWARD (policy ACCEPT)

案例3： 限制來源IP地址

[root@m01 ~]#iptables -I INPUT -s 172.16.1.7 -j DROP 
[root@m01 ~]#（限制172.16.1.7IP）
[root@web01 ~]#ssh 172.16.1.61（IP遠(yuǎn)程連接61不通）
^C
此時(shí)10.0.0.7可以連通

案例4：限制網(wǎng)段

[root@m01 ~]#iptables -I INPUT -s 172.16.1.7/24 -j DROP (限制整個(gè)網(wǎng)段，0708都不通了)
[root@m01 ~]#
[root@web01 ~]#ssh 172.16.1.61
?
[root@web02 ~]#ssh 172.16.1.61
?
此時(shí)，10.0.0.0段可以通（因?yàn)榻牟皇沁@個(gè)網(wǎng)段）

案例5：限制80端口

[root@m01 ~]#iptables -I INPUT -p tcp --dport 80 -j DROP
[root@web01 ~]#ping 10.0.0.61:80
ping: 10.0.0.61:80: Name or service not known

案例6:限制10.0.0.7不能訪問61的80端口

[root@m01 ~]#iptables -I INPUT -s 10.0.0.7 -p tcp --dport 80 -j DROP

案例7：對源IP進(jìn)行取反

除了10.0.0.1之前所有的IP地址都不能訪問我的服務(wù)器(慎重使用)
[root@m01 ~]#iptables -I INPUT ! -s 10.0.0.1 -j DROP此時(shí)172.16.1.0/段可以訪問，

案例8：修改默認(rèn)的規(guī)則

1.配置先允許自己可以訪問61
[root@m01 ~]#iptables -I INPUT  -s 10.0.0.1 -j ACCEPT
2.修改默認(rèn)規(guī)則為DROP
[root@m01 ~]#iptables -P INPUT DROP
[root@m01 ~]#
[root@m01 ~]#iptables -nLChain INPUT (policy DROP)target ? ? prot opt source ? ? ? ? ? ? ? destination ? ? ? ? 
ACCEPT ? ? all ?-- ?10.0.0.1 ? ? ? ? ? ? 0.0.0.0/0 
[root@web01 ~]#ssh 10.0.0.61 (10.0.0.7無法遠(yuǎn)程連接61了)

案例9：多端口配置

允許80和443端口
[root@m01 ~]#iptables -I INPUT  -p tcp -m multiport --dport 80,443  -j ACCEPT
,前后代表兩個(gè)
：前后待代表從前面的到后面的端口全部允許

案例10：禁ping

禁ping 禁tracert
[root@web01 ~]#ping 10.0.0.61  (禁用之前，可以拼通)
PING 10.0.0.61 (10.0.0.61) 56(84) bytes of data.
64 bytes from 10.0.0.61: icmp_seq=1 ttl=64 time=0.534 ms
64 bytes from 10.0.0.61: icmp_seq=2 ttl=64 time=0.983 ms
[root@m01 ~]#iptables -I INPUT  -p icmp --icmp-type 8  -j DROP
[root@web01 ~]#ping 10.0.0.61（禁用之后，ping不通了）
PING 10.0.0.61 (10.0.0.61) 56(84) bytes of data.
?
通過linux操作系統(tǒng)內(nèi)核參數(shù)配置禁ping
設(shè)置為1為禁ping
設(shè)置為0開啟ping
[root@m01 ~]#echo  1  >/proc/sys/net/ipv4/icmp_echo_ignore_all
[root@m01 ~]#cat /proc/sys/net/ipv4/icmp_echo_ignore_all
1
[root@m01 ~]#echo  0  >/proc/sys/net/ipv4/icmp_echo_ignore_all
[root@m01 ~]#cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0

案例11：iptables的保持與恢復(fù)

iptables-save將當(dāng)前的配置保持到/etc/sysconfig/iptables
[root@m01 ~]#iptables-save 
恢復(fù)iptabales
1.重啟讀取/etc/sysconfig/iptables 配置文件中的策略
systemctl restart iptables
2.使用命令恢復(fù)
iptables-restore  </etc/sysconfig/iptables 

案例12： 使用IPtables實(shí)現(xiàn)共享上網(wǎng)

服務(wù)端設(shè)置：

1.iptables設(shè)置SNAT
將來源IP是172.16.1.0網(wǎng)段的流量，全都轉(zhuǎn)換成10.0.0.61去訪問外網(wǎng)
[root@m01 ~]#iptables -t nat -A POSTROUTING  -s 172.16.1.0/24 ? -j SNAT  --to-source 10.0.0.61
2.配置內(nèi)核轉(zhuǎn)發(fā)(擁有路由器功能)
[root@m01 ~]#echo 'net.ipv4.ip_forward = 1'  >> /etc/sysctl.conf
3.刷新配置
[root@m01 ~]#sysctl -p
net.ipv4.ip_forward = 1使用ADSL撥號的網(wǎng)絡(luò): 注意事項(xiàng): 公網(wǎng)ip不固定: iptables -t nat -A POSTROUTING ?-s 172.16.1.0/24 -j  MASQUERADE

客戶端設(shè)置：

配置網(wǎng)關(guān): 172.16.1.61 保證重啟resolv.conf里DNS
[root@web01 ~]#cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
BOOTPROTO=none
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.7
PREFIX=24
GATEWAY=172.16.1.61
DNS1=223.5.5.5
重啟生效:
[root@web01 ~]#systemctl restart network

案例13.IP地址映射

DNAT目標(biāo)地址轉(zhuǎn)換配置IP地址端口映射:
[root@m01 ~]#iptables -t nat -A PREROUTING ?  -d 10.0.0.61 -p tcp --dport 9000  -j DNAT --to-destination 172.16.1.7:22

在我們的日常運(yùn)維工作中防火墻的作用還是很大的，所以最少要掌握一種防火墻的使用方法，今天的iptables防火墻分享就到這里了，改天小屁整理一篇firewalld防火墻的使用教程~~~~

---

想成為大佬，就要從小白開始，從0開始，一點(diǎn)一點(diǎn)的積累，慢慢成長，明天你就是大佬！！想學(xué)習(xí)更多麒麟操作系統(tǒng)的知識，關(guān)注小屁，讓你成為運(yùn)維老鳥~~~~~?