iptables防火墙之SNAT、DNAT及firewalld防火墙

最新推荐文章于 2024-04-26 21:36:04 发布
最新推荐文章于 2024-04-26 21:36:04 发布
阅读量701 收藏 2
点赞数
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79207100/article/details/133639768
版权

一、iptables防火墙

SNAT:源地址转换

DNAT:目的地址转换

核心:通过iptables进行地址转换

SNAT内网→外网:改变源地址

DNAT外网→内网:改变目的地址

(重要)linux系统能抓包吗?

 可以。使用linux系统自带的抓包工具tcpdump来抓包

抓包方式:

1、指定抓包的数量

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个

2、动态抓包。一直会获取包,除非人工停止

tcpdump -i ens33 -s0 -w ./ens33.cap

特点:tcpdump可以抓包,但不能分析。用wireshark来分析。sz taget.cap保存到电脑上

wireshark只适用于windows系统抓包

二、firewalld防火墙

firewalld防火墙:centos7自带的,和iptables一样的包过滤防火墙

firewalld过滤是根据区域进行配置的

iptables是静态的防火墙,firewalld是动态的防火墙

(1)firewalld区域

1、trusted信任区。所有流量都可以传入

2、public公共区域。允许ssh或dhcpv6-client的流量可以传入,其他的全部拒绝。firewalld的默认区域

3、external外部区域。允许ssh或dhcpv6-client的流量可以传入,其他的全部拒绝。默认通过此区域转发的ipv4流量地址可以进行伪装

4、home家庭区域。允许ssh或dhcpv6-client的流量可以传入,其他的全部拒绝

5、internal内部区域。默认值与home区域的作用相同

6、work工作区域。允许ssh或dhcpv6-client的流量可以传入,其他的全部拒绝

7、DMZ隔离区(非军事区)。仅允许ssh和其他的预定义好的配置的流量可以传入,其他的全部拒绝

8、block限制区。拒绝所有流量

9、drop丢弃区域。所有流量都会丢弃,没有任何回显信息

dhcpv6-client获取ipv6地址的客户端工具

(2)切换默认区域

test1

systemctl restart firewalld

systemctl restart httpd

firewalld-cmd --get-default-zone  #显示当前系统中的默认区域

firewalld-cmd --list-all  #显示默认区域内的所有规则

firewalld-cmd --set-default-zone=block#将默认区改成block

firewalld-cmd --set-default-zone#查看默认区

firewalld-cmd --set-default-zone=public#将默认区改成public

test2

ping 20.0.0.10

(3)服务管理

添加单个服务

firewaalld-cmd --list-service   #查看区域内允许通过的服务

firewaalld-cmd --add-service=http --zone=public  #添加服务到防火墙中

删除单个服务

firewaalld-cmd --remove-service=http --zone=public

一次性添加多个服务

1、firewalld-cmd --add-sevice=http --add-service=ftp --zone=public

firewalld-cmd --list-services

2、firewalld-cmd --add-service={ftp,http}

一次性删除多个服务

firewalld-cmd --remove-sevice=http --remove-sevice --zone=public

永久添加服务

firewalld-cmd --add-sevice={ftp,http} --zone=public --permanent

firewalld-cmd --reload   #重新加载配置

firewalld-cmd --list-all   #显示所有服务

永久删除服务

firewalld-cmd --remove-service=http --zone=public --permanent

firewalld-cmd --reload   #重新加载配置

firewalld-cmd --list-all   #显示所有服务

(4)端口管理

添加单个端口(往默认区域添加可以不指定--zone)

firewalld-cmd --zone=public --add-port=80/tcp  #在区域中添加端口

firewalld-cmd --zone=public --remove-port=80/tcp #在区域中移除端口

添加多个端口

firewalld-cmd --add-port={3306,80,21}/tcp

firewalld-cmd --list-all

添加范围端口

firewalld-cmd --add-port=30-35/tcp

firewalld-cmd --list-all

三、iptables实现地址转换实验

实验环境:

3台虚拟机:

test1模拟内网服务器20.0.0.10

test2模拟网关服务器ens33:20.0.0.254  ens36:30.0.0.254

test3模拟外网服务器30.0.0.10

配置IP地址

实验条件:安装http、iptables服务

实验图:

实验步骤:

1、3台虚拟机均关闭防火墙和安全机制

2、test1内网、test3外网安装httpd服务,test、 test2、test3安装iptables服务,重启httpd服务

yum -y install httpd

yum -y install iptables iptables-services.x86_64 

systemctl restart httpd

3、配置3台虚拟机的网卡设备

vim /etc/sysconfig/network-scripts/ifcfg-ens33

test1

test3

test2

添加网卡

创建ens36:cp ifcfg-ens33 ifcfg-ens36

重启网卡设备:systemctl restart network

ifconfig检查IP地址是否修改成功

4、内网test1访问外网test3

路由器test2

iptables -t nat -A POSTROUTING -s 20.0.0.0/24 -o ens36 -j SNAT --to 10.0.0.10   #添加转换源地址10.0.0.10

iptables -t nat -vnL --line-numbers   #查看规则是否添加成功

vim /etc/sysctl.conf(重要)

添加net.ipv4.ip_forward=1   #开启内核的转发功能

sysctl.conf修改内核参数的文件,立即生效

sysctl -p立即生效

打开test1火狐浏览器

打开外网test3的日志文件

cd /var/log/httpd

[root@test3 httpd]# ls

access_log  error_log

vim access_log

内网访问外网成功

5、外网访问内网

iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 20.0.0.10:80   #添加转换目的IP地址

iptables -t nat -vnL --line-numbers  #检查是否添加此规则

打开内网test1的日志文件

cd /var/log/httpd

[root@test1 httpd]# ls

access_log  error_log

vim access_log

打开外网test3的火狐浏览器

内网test1日志文件

外网访问内网成功

咩咩230
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2808
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器iptables规则 小知识扩展 DNAT策略与应用
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables防火墙之SNAT与DNAT
gfbcdgbb的博客
03-19 584
局域网主机共享单个公网IP地址接入Internet。
Linux——Firewall防火墙firewalldiptables两种管理方式)_firewalld 旁路由 透明代理
最新发布
m0_61943758的博客
04-26 788
经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
iptables中的SNAT、DNATFirewalld
hy199707的博客
03-05 789
网络世界中,IP地址就如同现实世界中的门牌号码,它为数据包指明了方向。然而,在某些情况下,出于安全、资源优化或网络拓扑的需要,我们必须对这些“门牌号码”进行变换。这就涉及到了网络地址转换(Network Address Translation, NAT)技术,而在Linux环境中,实现NAT功能的主要工具就是iptables。本文将深入探讨iptables中的两种核心NAT类型——源网络地址转换(Source Network Address Translation, SNAT)和目标网络地址转换(Dest
Linux系统之iptables应用SNAT与DNAT
ZHUZIH6的博客
02-19 1868
SNAT与DNAT原理及应用,详细实验过程;对比SNAT与DNAT区别;介绍iptables规则的备份与还原以及使用tcpdump抓包
iptables之snat
fengcai_ke的博客
07-19 1348
iptables snat
iptables之SNAT与DNAT
稻香的博客
06-05 849
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
Linux系统中的火墙策略——firewalld
qq_45225437的博客
03-24 366
文章目录一、开启服务二、关于firewalld的域三、设定原理及数据存储四、管理命令五、高级规则六、NAT1. SNAT2. DNAT 一、开启服务 通常情况下,在系统中默认firewalld的自动开启的 当系统开启iptables,从iptables切换到firewalld: 二、关于firewalld的域 域 含义 trusted 接收所有的网络连接 home 用于家庭...
firewalld常用的基础配置
宇飞林海的博客
10-18 1146
区域作用trusted(信任区域)允许所有的传入流量。public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。external(外部区域)允许与ssh预定义服务匹配的传入流量其余均拒绝。home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。internal(内部区域)默认值与home区域相同。work(工作区域)
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
Linux Ubuntu系统iptables防火墙配置
11-11
为了确保服务器安全,... 防火墙版本:iptables v1.6.0 实施目标:服务器本机及指定主机可访问服务器端口资源,其它主机只能访问公开的HTTP端口,无法探测及访问数据库等不开放端口,避免漏洞报告等不停更新的烦恼。
iptables防火墙(SNAT与DNAT
2302_78835233的博客
08-19 491
iptables防火墙(SNAT与DNATiptables 四表五链
iptables实现网络防火墙(二)——SNAT与DNAT
Eumenides_s的博客
10-23 791
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。    在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的
firewalld火墙管理工具
llllyr的博客
08-18 487
文章目录1.firewalld基本知识2.firewalld防火墙的管理2.1 图形化firewalld管理:firewall-confige2.2 firewalld-cmd管理火墙2.3火墙的高级管理 1.firewalld基本知识 1.1 firewalld概述 动态防火墙后台程序firewalld 提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界...
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168.1.100转换为外部IP地址202.101.1.100: ``` iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to-source 202.101.1.100 ``` 2. 将所有内部IP地址转换为外部IP地址: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 202.101.1.100 ``` DNAT配置: 1. 将外部IP地址202.101.1.100的流量转发到内部IP地址192.168.1.100: ``` iptables -t nat -A PREROUTING -d 202.101.1.100 -j DNAT --to-destination 192.168.1.100 ``` 2. 将外部IP地址202.101.1.100的80端口流量转发到内部IP地址192.168.1.100的8080端口: ``` iptables -t nat -A PREROUTING -p tcp -d 202.101.1.100 --dport 80 -j DNAT --to-destination 192.168.1.100:8080 ``` 这些是基本的SNAT和DNAT配置示例,具体配置取决于你的网络需求和防火墙规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值