目录
iptables 命令:
路由表配置
iptables 是 Linux 下的一个防火墙工具,它可以通过过滤、转发和修改数据包来实现网络安全。以下是一些常用的
iptables 命令:
1. iptables -L:
列出当前的 iptables 规则。
2. iptables -F:
清空当前的 iptables 规则。
3. iptables -A INPUT -p tcp --dport 22 -j ACCEPT:
允许来自任何 IP 地址的 SSH 连接。
4. iptables -A INPUT -p tcp --dport 80 -j ACCEPT:
允许来自任何 IP 地址的 HTTP 连接。
5. iptables -A INPUT -p tcp --dport 443 -j ACCEPT:
允许来自任何 IP 地址的 HTTPS 连接。
6. iptables -A INPUT -p icmp -j ACCEPT:
允许来自任何 IP 地址的 ICMP 连接。
7. iptables -A INPUT -j DROP:
拒绝来自任何 IP 地址的连接。
8. iptables-save > /etc/sysconfig/iptables:
将当前的 iptables 规则保存到文件中。
9. iptables-restore < /etc/sysconfig/iptables:
从文件中恢复 iptables 规则。
10. iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT:
允许来自 192.168.1.0/24 网段的连接。
11. iptables -A INPUT -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT:
允许来自 192.168.1.0/24 网段到 192.168.2.0/24 网段的连接。
12. iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT:
允许来自任何 IP 地址的 SSH 连接,并允许已经建立的连接。
13. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT:
限制来自任何 IP 地址的 HTTP 连接,每分钟最多 25 个连接,最多允许 100 个连接突发。
14. iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT:
拒绝来自任何 IP 地址的 HTTP 连接,如果连接数超过 10 个。
路由表配置
查看当前路由表:
ip route show
添加一条路由规则,例如将所有目的地址为 192.168.1.0/24 的数据包通过网关 192.168.0.1 发送:
ip route add 192.168.1.0/24 via 192.168.0.1
删除一条路由规则,例如删除上文中添加的 192.168.1.0/24 路由规则:
ip route del 192.168.1.0/24
使用 `ip` 命令配置默认路由:
ip route add default via <gateway ip>
其中 `<gateway ip>` 指网关 IP 地址。
手动配置一条静态路由:
ip route add <network>/<mask> via <gateway>
其中 `<network>` 是要访问的网络, `<mask>` 是网络掩码, `<gateway>` 是网关 IP 地址
永久保存路由设置:
如果希望设置的路由永久有效,可以将路由规则添加到 `/etc/network/interfaces` 文件中。
例如,要永久添加一条路由规则,可以编辑 `/etc/network/interfaces` 文件,在文件末尾添加以下内容:
up ip route add <network>/<mask> via <gateway>
保存文件后,使用以下命令重启网络:
sudo systemctl restart networking
上是一些常见的 Linux 配置路由的方法,但实际操作还应根据具体场景和需求进行配置。
创建虚拟网卡:
可以使用以下命令创建一个虚拟网卡,例如 eth0:0:
sudo ip link add name eth0:0 link eth0 type macvlan mode bridge
创建一个名为eth0:0的macvlan虚拟接口,并将其连接到物理接口eth0上,以桥接模式运行。这将允许虚拟接口使用与物理接口相同的MAC地址,并且可以与其他设备进行通信
给虚拟网卡分配 IP:
可以使用以下命令给虚拟网卡分配 IP 地址,例如 192.168.0.100:
sudo ip addr add 192.168.0.100 dev eth0:0
启动虚拟网卡
使用以下命令启动虚拟网卡:文章来源:https://uudwc.com/A/jrbzj
sudo ip link set eth0:0 up文章来源地址https://uudwc.com/A/jrbzj
