場(chǎng)景

Linux開啟了iptables！！！

開啟本機(jī)TCP80端口服務(wù)。Linux本機(jī)IP地址是192.168.204.129。

本機(jī)telnet連接本機(jī)的TCP80端口。

目的

telnet 192.168.204.129 80，能夠連接通。

輸入規(guī)則

1）需要配置一個(gè)讓本機(jī)TCP80端口響應(yīng)報(bào)文進(jìn)來(lái)的規(guī)則，有兩種配置方式

#目的IP是本機(jī)
iptables -I INPUT -p tcp -d 192.168.204.129 -j ACCEPT

或者配置源IP是本機(jī)的，配置這個(gè)的話，其它主機(jī)就無(wú)法訪問(wèn)本機(jī)的TCP80了

#源IP是本機(jī)
iptables -I INPUT -p tcp -s 192.168.204.129 -j ACCEPT

2）讓要訪問(wèn)本機(jī)TCP80端口的報(bào)文進(jìn)入，配置這個(gè)主要是為了讓其它主機(jī)能夠訪問(wèn)本機(jī)IP，針對(duì)現(xiàn)在的場(chǎng)景是可以不配置這個(gè)的，只配置1）的規(guī)則

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

輸出規(guī)則

1）配置這個(gè)是為了讓本機(jī)TCP輸出報(bào)文能夠發(fā)送到目標(biāo)IP，這里目標(biāo)IP配置本機(jī)IP地址192.168.204.129是為了保證本機(jī)telnet客戶端連接本機(jī)tcp80端口請(qǐng)求報(bào)文和TCP80端口的響應(yīng)報(bào)文能夠出去

iptables -I OUTPUT -p tcp -d 192.168.204.129 -j ACCEPT

當(dāng)然也可以配置源IP是本機(jī)的，如果是配置源IP是本機(jī)的這種，外部其它主機(jī)就無(wú)法訪問(wèn)了

iptables -I OUTPUT -p tcp -s 192.168.204.129 -j ACCEPT

2）配置這個(gè)是為了讓本機(jī)Linux來(lái)自TCP80端口的報(bào)文出去，可以發(fā)給本機(jī)或者是其它主機(jī)。這個(gè)是可以不配置的。如果不配置這個(gè)，其它主機(jī)無(wú)法接收本機(jī)TCP80端口的響應(yīng)報(bào)文

iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT

分析

這里涉及四個(gè)核心報(bào)文：

1）telnet客戶端連接tcp80端口的出站報(bào)文

2）tcp80端口響應(yīng)給telnet客戶端的出站報(bào)文

3）telnet客戶端連接tcp80端口的入站報(bào)文

4）tcp80端口響應(yīng)給telnet客戶端的入站報(bào)文

這里的1）和3）往根兒上說(shuō)是同一個(gè)報(bào)文，只不過(guò)它既要出站也要入站。

這里的2）和4）往根兒上說(shuō)是同一個(gè)報(bào)文，只不過(guò)它既要出站也要入站。

備注

telnet去網(wǎng)上查了下它的端口是23，對(duì)該端口進(jìn)行配置使用驗(yàn)證后發(fā)現(xiàn)不管用。

telnet 192.168.204.129 80該命令中telnet連接TCP80端口使用的應(yīng)該是隨機(jī)端口。

簡(jiǎn)單展示

上面截圖的規(guī)則是在這個(gè)場(chǎng)景下會(huì)生效的INPUT規(guī)則和OUTPUT規(guī)則。

OUTPUT開放了tcp源端口是80的接收規(guī)則是為了讓其它主機(jī)能夠訪問(wèn)通本機(jī)的TCP80端口。

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論