这里要说到iptables。
service iptables status 首先查看iptables有没有开启,
filter表、nat表、mangle表和raw表 分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
service iptables status //自己试试看如果是iptables: Firewall is not running. 去开启吧。
service iptables start //开启
iptables的配置文件/etc/sysconfig/iptables不存在怎么办
首先要看一下iptables是否安装了,使用service iptables status或yum info iptables看一下当前状态
如果已安装,运行以下命令:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
service iptables save //保存
这样就会提示
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
这样就会有iptables的初始配置文件了
chkconfig --level 35 iptables on 设置35开机启动
service iptables start
cat /etc/sysconfig/iptables //看一下。里面的规则
iptables -F //清空所有吧,本来也没有什么东西的
service iptables save //保存规则
解释一下一些东西。
input: 外面的数据到我们服务器
output: 服务器给我们的响应,就是服务器发数据发外面
-t filter //就是filter表,实现包过滤
-A //就是追加新规则 -I 插入,插到前面 -D 删除
-p //使用什么传输协议TCP/UDP/ICMP
--dport //目标端口
-j //ACCEPT:接受 , DROP:直接丢弃 ,REJECT:明示拒绝
这样,80端口就访问不了。但是可以访问其他的。
再写一条允许80端口的
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables-save > /etc/sysconfig/iptables //可以这样来保存规则
cat /etc/sysconfig/iptables //查看规则
-A INPUT -p tcp -m tcp --dport 80 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
会出现两条规则,有点矛盾一个是DROP 一个是ACCEPT。其实是前面的允许了,后面的就没用了。
或者这样干,把这条插到前面,这样前面的允许了,后面的就没用了。
iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
或者是这样干。把DROP 删除。
iptables -t filter -D INPUT -p tcp --dport 80 -j DROP
//跟着写到这里,差不多可以知道怎么用了。
//就是当不给ip是58.61.66.99的访问80端口,这样干
iptables -I INPUT -p tcp -s 58.61.66.99 --dport 80 -j DROP
//就是要主要iptables的前后关系,前面的规则覆盖后面的,写再多也没用。
//做个好玩的事情就是当讨厌的IP(58.61.66.99)进来的时候,让他跳到另外的端口,写上 YOU ARE SB
//结合多站点。就是给他显示8888端口的页面,写着 you are sb
PREROUTING是目的地址转换—进站(-j DNAT) POSTROUTING是源地址转换—出站 (-j SNAT)
iptables -t nat -A PREROUTING -p tcp -s 58.61.66.99 --dport 80 -j DNAT --to-destination :8888