|
NEW:新发出的请求,连接追踪模板中不存在相关的信息条目,因此识别为第一次发出来的请求
ESTABLISHED:NEW状态之后,连接追踪模板中为其建立的条目失效之前期间内所进行的通信的状态
RELATED: 相关的连接,如:FTP协议命令连接与数理连接之间的关系
INVALIED:无法识别的连接
iptables -I INPUT -d 192.168.1.23 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -d 192.168.1.23 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -I INPUT 2 -d 192.168.1.23 -p tcp -m multiport --dport 22,80 -m state --state NEW -j ACCEPT
问题:如何开放被动模式的FTP服务?
- 装载FTP追踪时专用的模块
modprobe nf_conntrack_ftp
- 放行请求报文
命令连接:NEW,ESTABLISHED
数据连接:RELATED,ESTABLISHED
iptables -A INPUT -d local_IP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -d loacl_IP -p tcp -m state --state RELATED,ESTABISHED -j ACCEPT
- 放行响应报文:ESTABLISHED
iptables -A OUTPUT -s local_IP -p tcp -m state --state ESTABLISHED -j ACCEPT
4)保存及重载规则:
iptables-save > file 保存规则至指定规则
iptables-restore < file 指定文件中重载规则
转发规则:
开启iptables forward转发功能
echo 1 >/proc/sys/net/ipv4/ip_forward
nat: SNAT:只修改请求报文的源地址
DNAT:只修改请求报文的目标地址 内--》外 外--》内
nat表:PREROUTING(DNAT)-->OUTPUT-->POSTROUTING(SNAT)
将本机的8080端口转发至其他主机,主机IP:192.168.1.12,目标主机IP和端口:192.168.1.13:8088,规则如下:
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.13:8088
iptables -t nat -A POSTROUTNG -p tcp --dport 8088 -j SNAT --to-source 192.168.1.12 (编辑:辽源站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
