前言:在linux服務器上,1024以下的端口是禁止非root用戶使用的。所以如果想要使用80端口訪問tomcat,則修改conf/server.xml的端口為80,那麼只能使用root用戶;但是為了安全起見,一般都是使用其他用戶啟動tomcat,可以采用端口映射的方式,比如映射80到8080端口。
一、iptables命令-t<表>:指定要操縱的表;
-A:向規則鏈中追加條目;
-D:從規則鏈中刪除條目;
-C: 檢查鏈中是否存在規則
-I:向規則鏈中插入條目;
-R:替換規則鏈中的條目;
-L:顯示規則鏈中已有的條目;
-F:清除規則鏈中已有的條目;
-Z:清空規則鏈中的數據包計算器和字節計數器;
-N:創建新的用戶自定義規則鏈;
-P:定義規則鏈中的默認目標;
-h:顯示幫助信息;
-p:指定要匹配的數據包協議類型,如-p tcp;
-s:指定要匹配的數據包源ip地址;
-j<目標>:指定要跳轉的目標;
-i<網絡接口>:指定數據包進入本機的網絡接口;
-o<網絡接口>:指定數據包要離開本機所使用的網絡接口。
iptables命令選項輸入順序:iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> sport 源端口 <-d 目標IP/目標子網> dport 目標端口 -j 動作
表名包括:
- raw:高級功能,如:網址過濾。
- mangle:數據包修改(QOS),用於實現服務質量。
- nat:地址轉換,用於網關路由器。
- filter:包過濾,用於防火牆規則。
規則鏈名包括:
- INPUT鏈:處理輸入數據包。
- OUTPUT鏈:處理輸出數據包。
- PORWARD鏈:處理轉發數據包。
- PREROUTING鏈:在進行路由判斷之前所要進行的規則(DNAT/REDIRECT)。
- POSTOUTING鏈:在進行路由判斷之後所要進行的規則(SNAT/MASQUERADE)。
動作包括:
- accept:接收數據包。
- DROP:丟棄數據包。
- REDIRECT:重定向、映射、透明代理。
- SNAT:源地址轉換。
- DNAT:目標地址轉換。
- MASQUERADE:IP偽裝(NAT),用於ADSL。
- LOG:日志記錄。
以上引用:http://man.linuxde.net/iptables
二、配置端口80轉發到8080iptables -t nat -A PREROUTING -p tcp dport 80 -j REDIRECT to-ports 8080
操作表名nat,添加規則名PREROUTING,協議名tcp,轉發端口80,動作REDIRECT,到目標端口8080
此時,訪問http://ip 和http://ip:8080是一樣的。
禁用8080端口:
iptables -t manage -A PREROUTING -p tcp dport 8080 -j DROP
保存配置規則,
2.1 centos:
service iptables save
也可以編輯/etc/sysconfig/iptables
2.2 ubuntu:
sudo iptables-save > /etc/network/iptables.up.rules
編輯/etc/network/interfaces
加入 pre-up iptables-restore < /etc/network/iptables.up.rules
保存退出。
三、刪除映射 1、直接刪除
iptables -t nat -D PREROUTING -p TCP dport 80 -j REDIRECT to-port 8080
2、進入/etc/sysconfig/iptables刪除
3、通過line number刪除
iptables -L -n -v line-numbers
列出所有規則
如果要刪除input鏈裏的第一個規則,則使用如下:
iptables -D INPUT 1
記得保存規則