5_iptables现代运维
1. Iptables 的前端工具
iptables 直接操作 netfilter,但很多发行版提供了更高层的前端。它们之间不是替代关系,而是不同层级的操作入口,最终都作用于内核的 netfilter。
%%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#3B82F6', 'primaryTextColor': '#1E3A5F', 'primaryBorderColor': '#2563EB', 'lineColor': '#60A5FA', 'secondaryColor': '#10B981', 'tertiaryColor': '#F59E0B'}}}%%
flowchart LR
A["用户"] --> B["firewalld"]
A --> C["ufw"]
A --> D["iptables"]
A --> E["nftables"]
B --> F["netfilter(内核)"]
C --> F
D --> F
E --> F
classDef user fill:#F59E0B,stroke:#D97706,color:#fff
classDef frontend fill:#3B82F6,stroke:#2563EB,color:#fff
classDef kernel fill:#10B981,stroke:#059669,color:#fff
class A user
class B,C,D,E frontend
class F kernel4_iptables_NAT与网络防火墙
从 SNAT、DNAT、MASQUERADE 到 FORWARD 链,系统讲解 iptables 地址转换与网络防火墙配置,含企业网关实战脚本。
3_iptables进阶与连接跟踪
2_iptables规则实战
iptables 规则的增删改查、匹配条件组合、黑白名单策略和规则持久化,附 Web 服务器防火墙完整配置脚本。
1_iptables全景认知
如果你的工作涉及 Linux 服务器管理、容器化部署、网络排障中的任何一项,iptables 都是绑定在底层的核心知识。
| 场景 | 举例 | 涉及的核心能力 |
|---|---|---|
| 服务器安全加固 | 只允许 SSH + HTTP 访问,拒绝其他一切流量 | filter 表、INPUT 链 |
| 内网共享上网 | 多台内网机器通过一台有公网 IP 的网关上网 | nat 表、SNAT/MASQUERADE |
| 端口转发 | 外网访问网关 8080 → 内网 Web 服务器 80 | nat 表、DNAT |
| 限流防攻击 | 限制每秒最多 10 个新连接,防止 SYN Flood | limit/connlimit 扩展模块 |
| 容器网络 | Docker -p 8080:80 端口映射,底层就是 DNAT | 理解 Docker 自动生成的规则 |
| K8s Service | kube-proxy iptables 模式下,ClusterIP → Pod 路由全靠 iptables | 理解 K8s 网络链路 |
| 策略路由 | 不同来源的流量走不同出口线路 | mangle 表、MARK |
quantumultX神器的使用
Quantumult X 是目前 iOS 平台主流的全能网络工具,提供 MitM、HTTP Debug 乃至 JS 脚本等诸多功能,同时保持了相当高的易用性。
这是一个付费软件,需要在 App Store 进行购买才能使用。
squid代理介绍和使用
爬虫玩得好,牢饭吃到饱。
目前免费的代理池几乎不能用, 稳定的代理池收费又比较高。趁着双十一撸了几台便宜的云服务器, 直接拿来当代理服务器使用了。
squid服务程序是一款在Unix系统中最为流行的高性能代理服务软件,通常会被当作网站的前置缓存服务,用于替代用户向网站服务器请求页面数据并进行缓存,通俗来讲,squid服务程序会接收用户的请求,然后自动去下载制定数据(如网页)并存储在服务器内,当以后的用户再来请求相同数据时,则直接将刚刚存储在服务器本地的数据交给用户,较少用户的等待时间。