iptables配置中，如何设置规则以实现特定网络流量过滤的最佳实践是什么？

本文共计373个文字，预计阅读时间需要2分钟。

2019年独角兽企业重金招聘Python工程师标准、iptables是什么iptables是什么iptables是一款对数据包进行检测的简易访问控制工具。

2019独角兽企业重金招聘Python工程师标准一、iptables是什么简单概括iptables是一个对数据包进行检测的一款简易访问控制工具

2019独角兽企业重金招聘Python工程师标准>>>

一、iptables是什么 简单概括iptables是一个对数据包进行检测的一款简易访问控制工具它可以将规则组成一个列表实现绝对详细的访问控制功能。 我们这次需要用到的仅仅是iptables里的地址转换(nat)功能。简单地说就是将原来发往 ipA:portA 的请求重定向到 ipB:portB

二 、常用的iptables命令

开启iptables服务: sudo /etc/init.d/iptables start 第一次配置时使用,如果已开启,无需重复执行。 重启iptables服务: sudo /etc/init.d/iptables restart 保存iptables配置: sudo /etc/init.d/iptables save 建议每次新增规则后都用此命令保存一下,否则下次机器或者服务重启的时候,未保存的配置会消失。

ip重定向(不推荐): sudo iptables -t nat -A OUTPUT -d (源ip) -j DNAT --to-destination (目标ip) 如:iptables -t nat -A OUTPUT -d 10.9.38.65 -j DNAT --to-destination 10.9.26.219 增加一条重定向规则,将一个ip下所有端口的请求全都重定向到另一个ip,端口号保持不变。一般不建议这样使用。推荐使用更加灵活的ip端口号重定向。

IP端口号重定向(推荐) sudo iptables -t nat -A OUTPUT -d (源ip) -p tcp --dport (源port) -j DNAT --to-destination (目标ip):(目标port) 如:iptables -t nat -A OUTPUT -d 10.9.38.65 -p tcp --dport 8025 -j DNAT --to-destination 10.9.26.219:8025 最常用到的命令。增加一条规则根据ip端口号来重定向。上一行的意思是把原本调用10.9.38.65:8025(qa环境trade服务)的请求重定向到10.9.26.219:8025(ci环境trade服务)。

查看全部规则: sudo iptables -t nat -L -n --line-number

转:my.oschina.net/ouyangtaohong/blog/1535084