iptables实例

最新推荐文章于 2022-07-21 19:23:37 发布
最新推荐文章于 2022-07-21 19:23:37 发布
阅读量561 收藏
点赞数
分类专栏: 网络 UNIX 文章标签: iptables 实例 防火墙 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pur_e/article/details/59078263
版权

举几个常用的iptables实例,具体分析一下使用。

1.防火墙

最常用的iptables基本功能防火墙,参见配置一个生产的iptables防火墙规则

2.共享上网

想要共享上网,必须将不能上网主机的网关设置可以访问外网的主机。

我在阿里云上使用专有网络做的试验,弹性计费很便宜,用完别忘了删,要不一直收钱^_^

网络拓扑,一共两台主机:

  • 一台172.16.147.210,有EIP弹性IP绑定121.43.189.118,可以上外网,称为主机A
  • 一台172.16.147.211,不能上外网,称为主机B

让主机B通过主机A共享上网步骤如下:

  • 将主机B的网关设置为A,重启网络
    ifcfg-eth0中,设置GATEWAY=172.16.147.210
  • 开启主机A的网络转发
    echo "1" > /proc/sys/net/ipv4/ip_forward
    #上面是临时开启,重启主机会失效,永久生效需要修改/etc/sysctl.conf
    # Controls IP packet forwarding
    net.ipv4.ip_forward = 1

    #然后运行sysctl -p来加载生效
  • 开启主机A的SNAT功能,将来自主机B的数据包源ip修改为自己。为什么需要这样做?因为如果不修改,主机A虽然把B的数据包转发出去了,但数据包的源IP还是主机B的内网IP,外网的主机回复的数据包并不知道往哪里发,所以需要让外网主机回复数据包给A,再由A转发数据包给B。
    #使用iptables的SNAT功能,让外网看起来数据包是由A主机发送出去的,这也是普通的路由器所做的事情
    iptables -t nat -A POSTROUTING -s 172.16.147.211 -j SNAT --to-source 172.16.147.210

这里,其实还隐含了一个反SNAT的过程,因为外网返回的数据包的目标IP是主机A的,所以主机A会根据内存中的转换表,做一个UN SNAT,将目标IP转换为B的IP,否则包的传输是进行不下去的。

此时,在正常的网络中,如果防火墙没有额外配置(如iptables禁用forward),主机B已经可以访问外网。但是在阿里云的专有网络中,却搞了半天还是不行,最后才发现是阿里专有网络中,arp协议不能正常使用导致,正常网络中ip对应主机应该应答自己的MAC地址,然后就可以直接发送数据包。但专有网络所有的arp协议都会直接返回ee:ff:ff:ff:ff:ff,导致内网间主机不能直连,所有数据包都需要经过虚拟路由器转发,而路由器中默认只有内网与阿里管理主机如DNS主机的路由,所以访问外网的数据包无法发到主机A上。

所以解决方法为,在阿里专有网络的路由器配置中,添加一条路由,将所有数据包(内网包除外)路由到主机A上。如图:
这里写图片描述

这样才可以实现共享上网。

3.端口映射

有时候内网主机提供服务,如在主机B上提供80端口的HTTP服务,外网是无法直接访问的,只能在主机A上开一个端口映射,如将A的端口8888映射为B的端口80,所有对A:8888的访问数据包,都直接转发给B:80。

实现方式很简单:

3.1 外网主机访问

    iptables -t nat -A PREROUTING -p tcp --dport 8888 -j DNAT --to-destination 172.16.147.211:80

简单分析一下:

  • 为什么需要做DNAT,不做的话目的IP是A,A自己就把这个包给吃了,不会转发的;
  • 为什么在PREROUTING链做,想想之前文章的那张数据包流向图,只能PREROUTING在路由之前,再往后面就已经决定了数据包是发给自己还是需要转发的了;

做了这个配置后,使用外网访问一下A主机的8888端口,会发现成功访问了B的80HTTP服务。在阿里云上做实验别忘了给路由器添加路由规则,解释在上面提到过。

DNAT也相应的有一个UN DNAT的过程,数据包转发给B后,B的返回包源地址是B:80,经过A时,A会对照内存中的映射表,自动将返回包的源地址转换为A:8888,这样返回包就好像是由A:8888发出的一样,这样才能正常通信。这种映射,对于外网来说是透明的,就仿佛真得是A:8888在提供服务一样,不需要用户做任何代理设置,所以也被叫做反向代理。

3.2 同网络主机访问

但是仅仅这样配置,外网访问是可以的,内网想要访问却不行,想一下数据包的流转:

  • 内网的主机C将数据包发给了A:8888,A做了DNAT,将目的地址变成了B:80;
  • B接收了数据包,发送一个返回包,返回包的目的地址是C主机;
  • 由于是内网IP,不需要经过网关,直接通过ARP协议确认主机C的地址,数据包被直接发送到了C主机(这就是和外网的区别,数据包没有到A,没有UN DNAT的机会);
  • C主机接收了B的返回包,但C并不认识这个包,因为C没有和B进行通信,而是和A做的,所以这个包被丢弃,通信失败,连接都建立不起来;

于是,对于内网主机,我们需要让包还是返回A,所以需要添加一个SNAT,让B也以为包是A发出的:

    iptables -t nat -A POSTROUTING -p tcp --dst 172.16.147.212 --dport 80 -j SNAT --to-source 172.16.147.213

3.3 防火墙主机访问

如果防火墙主机想要访问的话,还是有问题。一般同网络或防火墙主机都不需要这样的端口映射,这里其实只是为了说明一下数据包流向。

原因是由主机本身发出的数据包,不会经过POSTROUTING链,还记得前一篇文章的数据包流向图吗?本机发出的数据包,想要做DNAT的话,只能在OUTPUT链做。所以需要添加:

    iptables -t nat -A OUTPUT -p tcp --dport 8888 -j DNAT --to-destination 172.16.147.212:80

这样才可以正常访问。

pur_e
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables 实例配置
08-06
Iptables 实例配置
25个iptables常用示例
wuyy0224的博客
06-26 1161
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]参数-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 -d 匹配目标
IPTABLES实例
08-07
IPTABLES实例,自我总结验证,绝对靠谱可能,请放心下载
openwrt 路由iptables实例
03-11
openwrt 路由iptables实例
9个常用iptables配置实例
eydwyz的专栏
11-11 2450
ptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。咋一看iptables的配置很复杂,掌握规律后,其实用iptables完成指定任务并不难,下面我们通过具体实例,学习iptables的详细用法。   1.删除已有规则 在新设定iptables规则时,我们一般先确保旧规则被清除,用以下命令清除旧规则: iptables -F (or iptable
iptables使用实例
liwei1567的博客
11-12 263
首先让我们看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。 举一个具体的例子:假设
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
第四章:iptables实例
webcenterol
10-26 1024
一、iptables实例 1、禁止客户机访问不健康网站 【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站 iptables -I FORWARD -d www.sexy.com -j DROP 【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站 iptables -I FORWARD -d 20.20.20.20 -j DR...
iptables详解及举例
09-12
iptables详解及举例,可以充分的了解linux防火墙的配置和维护。
实用iptables 示例
03-30
本文是我自己的一些学习iptables的心得,给大家拿出来来晒晒! filter #用于过滤 nat #做NAT input =>filter #目的ip是本机的数据包 forward =>filter #穿过本机的数据包 prerouting =>nat #修改目的地址(DNAT) postrouting =>nat #修改源地址(SNAT) iptables -t 要操作的表 操作命令 要操作的链 规则号码 匹配条件 -j 匹配到以后的命令
Iptables常见实例及理解
杀出条血路来
03-03 337
(1) 屏蔽某台电脑 场景:路由器或者防火墙屏蔽某个 IP 。 理解:任何以本机为目的地址的数据包都经过 filter 表的 INPUT 链 (-t filter 省略了 ) iptables -A INP...
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables防火墙实例
chengxuyuanyonghu的专栏
09-26 1299
iptables –F  #删除已经存在的规则  iptables -P INPUT DROP  #配置默认的拒绝规则。基本规则是:先拒绝所有的服务,然后根据需要再添加新的规则。  (1)iptables -A INPUT -p tcp --dport 80 -j ACCEPT  #打开WEB服务端口的tcp协议  (2)iptables -A INPUT -p tcp --dport
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 4679
本文介绍Linux的iptables命令的用法。
iptables 经验总结,及实战实例
Knowledge Archiving and Sharing
05-16 4158
防火墙一般写进来的防护INPUT,出去的OUTPUT不写 防火墙先放行,再设置默认策略 iptables -P INPUT ACCEPT 先放行22,再放行其他的端口 再设置默认策略为drop,这样非范围内的就不能上来了 为安全起见,操作的时候,先看下input的默认策略,如果是DROP,执行-F, 就不可以再上去了。最好建一个crontab, 15分钟后自动执行,完事之后再停掉,写 iptables -P INPUT ACCEPT iptables -F 对...
linux 具体运维实例
最新发布
04-22
可以举例子来说明Linux运维的实际操作,比如: 1. 日志管理:通过日志文件可以了解系统运行情况,定位问题等。...可以使用passwd、useradd、chmod等命令来管理用户权限,使用iptables命令来配置防火墙等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值