文档章节

iptables案例,NAT表应用

阿想
 阿想
发布于 2017/08/21 17:27
字数 829
阅读 10
收藏 0

10.15 iptables filter表案例

10.16/10.17/10.18 iptables nat表应用

扩展

  1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
  2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
  3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html

10.15 iptables filter表案例

  • service iptables save 保存 restart 重启
  • iptables 参数
    • -F 清空规则 -Z 清空计数器
    • -nvL 查看
    • -A 规则放后面 -I 放前面 -D 扔
    • INPUT OUTPUT
    • -p 协议(tcp udp)
    • -s 源IP --sport 源端口 -d 去IP --dport 去端口 -i 接收网卡 -o 发送网卡
  • policy 修改 iptables -P INPUT DROP 注意会导远程终端断开,且iptables -F不会恢复,需要改回ACCEPT

**需求案例:**服务器的22端口可以被192.168.83网段访问,再放行80、21端口。其他禁止

  • 脚本实现
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
#! /bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
#由于是脚本执行所以会执行完全部命令
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-m是指定检测状态,--state指定数据包状态(配合-m使用),该命令行的目的是使数据处理(通信)更顺畅
$ipt -A INPUT -s 192.168.83.0/24 -p tcp --dport 22 -j ACCEPT
#对指定源网段放行22端口(用于远程)
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT


  • 要保证远程设备终端的网段为规则网段。否则将无法继续远程

  • 外网不能往里ping,里往外可以

[root@axiang ~]#iptables -I INPUT -p icmp --icmp-type 8 -j DROP

10.16 -10.18 iptables nat表应用

NAT伪装

**场景:**A机器两块网卡ens33(192.168.83.131)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。

添加网卡 添加虚拟内网

  • 需求1:可以让B机器连接外网
  • 思路:A开启内核转发功能,NAT伪装,B设置网关及DNS

A:

[root@axiang ~]# ifconfig ens37 192.168.100.1/24
[root@axiang ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@axiang ~]# echo "1" > !$	开启内核转发
echo "1" > /proc/sys/net/ipv4/ip_forward
[root@axiang ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@axiang ~]# iptables -t nat -nvL
[root@axiang ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
#NAT表增加转发:对源自192.168.100.0/24网段。转给ens33端口,加工方式:伪装
[root@axiang ~]# iptables -t nat -nvL
...
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      ens33   192.168.100.0/24     0.0.0.0/0           

B:

route add default gw 192.168.100.1 #网关指向100.1(如果有别的网口,先ifdown掉)
vi /etc/resolv.conf ##配置DNS
增加一行nameserver 119.29.29.29

效果:B可以ping通外网,物理主机C的虚拟网卡(192.168.83.1)不能ping通B

NAT转换

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

思路:NAT网址转换

A开启内核转发功能,B设置网关及DNS 同上

A:

[root@axiang ~]# iptables -t nat -A PREROUTING -d 192.168.83.131 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
#当有IP包通过TCP访问A的1122端口,则将该IP目的转为访问B的22端口
[root@axiang ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.83.131
#当有源自B的IP包需要转发,则将IP包的源改为A

效果:

注意访问A的IP的1122端口!不是B的。有时候需要重启物理网卡

© 著作权归作者所有

共有 人打赏支持
阿想
粉丝 0
博文 72
码字总数 69742
作品 0
10.15 iptables filter表案例 10.16/10.17/10.18 iptable

七周四次课 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 打开端口转发, 调整内核参数 增加一条...

wb_rambo123
01/26
0
0
10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用

15 iptables filter表案例 iptables小案例 vi /usr/local/sbin/iptables.sh //加入如下内容 执行: sh /usr/local/sbin/iptables.sh icmp示例 iptables -I INPUT -p icmp --icmp-type 8 -j D......

夜归人8421
01/25
0
0
Day32 iptables filter表案例、iptables nat表应用

iptables filter表案例 介绍两个以后可能会用到的,关于iptables filter表案例 案例一、需求(将指定端口放行) 指定端口 80、21、22放行,且22要指定一个ip段 为了实现这个需求,我们要写一...

杉下
07/14
0
0
​七周四次课(5月9日)iptables filter表案例、iptables nat表应用

15 iptables filter表小案例 输入如下的内容: #! /bin/bash ipt="/usr/sbin/iptables" $ipt -F $ipt -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -P FORWARD ACCEPT $ipt -A INPUT -m state......

吕湘颖
05/07
0
0
32.filter表案例 nat表应用 (iptables)

10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 10.15 iptables filter表案例: ~1. 写一个具体的iptables小案例,需求是把80端口、22端口、21 端口放行。但是,22端口我...

王鑫linux
07/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

70.shell的函数 数组 告警系统需求分析

20.16/20.17 shell中的函数 20.18 shell中的数组 20.19 告警系统需求分析 20.16/20.17 shell中的函数: ~1. 函数就是把一段代码整理到了一个小单元中,并给这个小单元起一个名字,当用到这段...

王鑫linux
今天
2
0
分布式框架spring-session实现session一致性使用问题

前言:项目中使用到spring-session来缓存用户信息,保证服务之间session一致性,但是获取session信息为什么不能再服务层获取? 一、spring-session实现session一致性方式 用户每一次请求都会...

WALK_MAN
今天
6
0
C++ yield()与sleep_for()

C++11 标准库提供了yield()和sleep_for()两个方法。 (1)std::this_thread::yield(): 线程调用该方法时,主动让出CPU,并且不参与CPU的本次调度,从而让其他线程有机会运行。在后续的调度周...

yepanl
今天
4
0
Java并发编程实战(chapter_3)(线程池ThreadPoolExecutor源码分析)

这个系列一直没再写,很多原因,中间经历了换工作,熟悉项目,熟悉新团队等等一系列的事情。并发课题对于Java来说是一个又重要又难的一大块,除非气定神闲、精力满满,否则我本身是不敢随便写...

心中的理想乡
今天
42
0
shell学习之获取用户的输入命令read

在运行脚本的时候,命令行参数是可以传入参数,还有就是在脚本运行过程中需要用户输入参数,比如你想要在脚本运行时问个问题,并等待运行脚本的人来回答。bash shell为此提 供了read命令。 ...

woshixin
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部