เมื่อฉันตั้งค่า iptables ให้เปลี่ยนเส้นทางพอร์ตฉันจะยกเลิกได้อย่างไร

13

ฉันอ่านหลาย ๆ ไซต์เกี่ยวกับวิธีใช้ iptables เพื่อเปลี่ยนเส้นทางพอร์ตหนึ่งไปอีกพอร์ตหนึ่งใน Linux ตัวอย่างเช่นการเปลี่ยนเส้นทางพอร์ต 80 เป็น 8080 จะมีลักษณะเช่นนี้ ...

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080

ความกังวลของฉันคืออะไรถ้าฉันเปลี่ยนใจ ฉันไม่ได้อ่านที่ให้ไวยากรณ์เพื่อแก้ไขมัน ฉันคิดว่ามันมีวิธีการ (ง่าย ๆ ) แต่ฉันใหม่เกินไปที่ Linux ที่จะรู้วิธีการคืนค่าพอร์ต 80 กลับไปสู่การทำงานดั้งเดิมโดยไม่ต้องติดตั้งระบบปฏิบัติการใหม่

linux iptables

— Syndog
แหล่งที่มา

6

คุณสามารถใช้ตัวเลือก -D เพื่อiptablesเพื่อลบกฎออกจากเชนของคุณ ตัวอย่างเช่น

รายการแรกในเครือที่คุณต้องการลบกฎใช้ - หมายเลขบรรทัด

sudo iptables -L RH-Firewall-1-INPUT  -n --line-numbers

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
4    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
6    ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
7    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
10   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
11   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

หากต้องการลบบรรทัด 6

sudo iptables -D RH-Firewall-1-INPUT 6
sudo iptables -L RH-Firewall-1-INPUT  -n --line-numbers

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
4    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
6    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
10   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

หากคุณมีการกำหนดค่า iptables ของคุณบันทึกไว้ในไฟล์อย่าลืมอัปเดตไฟล์ ( iptables-saveและservice iptables saveอื่น ๆ )

— เลน
แหล่งที่มา

23

หากคุณกำลังสคริปต์มันง่ายกว่าที่จะลบตามคำนิยาม:

ตัวอย่าง:

เพื่อเพิ่ม:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080

สังเกต-A ? มันหมายถึงการเพิ่ม

เพื่อลบ:

iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080

แจ้งให้ทราบล่วงหน้า -D ? มันหมายความว่าลบ

— bithavoc
แหล่งที่มา

มันมีประโยชน์มาก!

— MadPhysicist

3

http://linux.die.net/man/8/iptables :

เสียงกระแอม

iptables -L, --list [chain]
    List all rules in the selected chain. If no chain is selected, all chains are listed. As every other iptables command, it applies to the specified table (filter is the default), so NAT rules get listed by

    iptables -t nat -n -L

    Please note that it is often used with the -n option, in order to avoid long reverse DNS lookups. It is legal to specify the -Z (zero) option as well, in which case the chain(s) will be atomically listed and zeroed. The exact output is affected by the other arguments given. The exact rules are suppressed until you use

    iptables -L -v

...

iptables -D, --delete chain rule-specification
iptables -D, --delete chain rulenum
    Delete one or more rules from the selected chain. There are two versions of this command: the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match.

— Hello71
แหล่งที่มา

0

คำตอบโดย bithavoc เป็นคำตอบที่ถูกต้อง เนื่องจากฉันยังมีคะแนนไม่พอที่จะแสดงความคิดเห็นฉันจึงเพิ่มข้อมูลเพิ่มเติมเพื่อเป็นคำตอบใหม่:

เพิ่มกฎการเปลี่ยนเส้นทางใหม่

$ sudo iptables -t nat -D PREROUTING -p tcp --dport 443 -j REDIRECT --to 5671

รายการกฎ NAT

$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:https redir ports 5671

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

-t natสวิทช์เป็นสิ่งที่จำเป็นเพื่อให้สามารถกำหนดเส้นทางกฎ

ลบกฎ

$ sudo iptables -t nat -D PREROUTING -p tcp --dport 443 -j REDIRECT --to 5671
[ec2-user@ip-172-31-27-46 ~]$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

— Vaibhaw
แหล่งที่มา