学习笔记之iptables(三)

最新推荐文章于 2024-08-05 16:49:09 发布
最新推荐文章于 2024-08-05 16:49:09 发布
阅读量653 收藏
点赞数
分类专栏: 运维 文章标签: linux 防火墙 iptables 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ghost_leader/article/details/54428113
版权

前面说了iptables的有关概念和隐式扩展和显示扩展。有那么多的模块加载进去。可以实现限流,限最大连接数等等控制。

下面就要说说iptables的日志等内容。

前面博客的地址(一):学习笔记之Iptables(一)(二):学习笔记之iptables(二)


1.iptables的日志功能

   防火墙日志可以清楚记录网络上来的任何访问。并生成日志记录下来。比如说,我要记录都有谁ping了我。

--log-prefix是指定一个提示字符串。

日志内容可以看到



2.nat及其过滤报文功能

      我们知道,想要访问互联网就必须拥有一个公有IP,像192.168.1.12这样的IP是不能用来访问互联网的,因为路由器根本不会路由这样的IP地址。那么就必须将一个私有IP转换为一个公有IP才可以。因为全球IP地址的匮乏,所以nat还是很常见的。

     在内核层面有一个ip_forward ,开启后则实现了IP地址的转发。这只是将一个网卡接收到的信息转发至另一个网卡。也就是想要转换IP地址还需要设置防火墙策略。

    如果开启了ip_forward和开启了地址伪装。那么这台主机就可以当作一个网关。


-j SNAT --to-source    可以修改其原地址 (原地址转换要在POSTROUTIN上做)


[root@www Templates]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 172.25.254.10


这样就可以将双网卡中处于192.168.1.0这个网段内的报文转换为172.25.254.10 以实现192.168.1.0这网段内的主机可以访问172.25.254.0这个网段内的主机(当然192.168.1.0这网段的主机要把网关改成那个双网卡的那个主机)



假如现在是ADSL拨号上网。给分配的IP为123.123.1.22

那么其实我在我的linux主机上执行命令

iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -o ppp0 -j SNAT --to-source 123.123.1.22


或者直接

-j  MSQUERADE 就不用SNAT了,他也是一种原地址转换。

SNAT情况下如果当ADSL给的地址变了,就会导致SNAT那个iptables策略失效。而MSQUERADE是自动的转换原地址的。


而NAT的确实现了地址转换。但如果我作为网关,我只为内网主机访问WEB做地址转换怎么办呢。也就是说,内网用户只能访问外网的网站,不能访问FTP,DNS等等服务。

这就需要在FOREARD上添加策略了

iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT



DNAT 的场景

     比如,我内网有好几台主机,有做ftp服务器的,有做web服务器的。我们知道,作为服务器一定需要有一个公有IP地址。但只有一个公有IP,难道将网关建立成一个服务器吗?

   不!网关既要向内网用户提供上网服务,又要当服务器,会给网关造成很大的压力。所以需要一个DNAT。我告诉大家,访问WEB服务就访问123.12.1.23(网关)。网关接到请求后会目标地址转换。转换后转给一个内网主机。这样。其实网关并没有WEB服务。但是却可以访问网关的IP的WEB服务。


   DNAT一般要用在PREROUTING也就是路由决策之前

iptables -t nat -A PREROUTING -d 172.25.254.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.12


Ghost_02
关注
专栏目录
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
使用iptables进行NAT转发
boyemachao的专栏
07-01 2万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
使用GOST搭建一个简单的端口转发(Linux&Windows)
qq_21279961的博客
06-29 8548
Gost是一个功能多样且实用的安全隧道工具,使用的是go语言编写 GitHub项目:https://github.com/ginuerzh/gost Gost文档:https://docs.ginuerzh.xyz/gost (比如甲骨文机型) TCP 转发 UDP 转发 全协议转发(TCP+UDP) 小飞机转发 示例:使用A服务器的端口转发IP为的B服务器的端口(TCP+UDP) 创建命令后我们就可以连接到A服务器的端口,从而使用B服务器的端口; 如果服务器使用了宝塔面板需要在面
Linux防火墙iptables学习笔记(四)iptables实现NAT
weixin_30715523的博客
07-02 943
1.概述1.1 什么是NAT在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改, 更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的i...
iptables 中的NAT使用总结
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
05-15 1万+
首先对SNAT DNAT进行概念介绍: SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情况 DNAT:目标地址转换 和SNAT相反,源地址不变,重新修改目标地址,在本机建立NAT表项,当数据返回时,根据NAT
Linux学习笔记iptables命令管理
最新发布
欢迎相互探讨交流知识呀~
08-05 1040
其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。COMMAND:子命令,定义对规则的管理。chain:指明链表。CRETIRIA:匹配参数。ACTION:触发动作。1. filter表——个链:INPUT、FORWARD、OUTPUT。
iptables学习笔记
qq_39437900的博客
11-15 681
在早期的 Linux 系统中,默认使用的是iptables配置防火墙。尽管新型 的firewalld防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。考虑到 iptables 在当前生产环境中还具有顽强的生命力,还是有必要再好好地学习一下这项技术。
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 #### 数据包流向顺序 数据包在通过iptables的不同链和表时,遵循特定的顺序。了解这一流程对于正确配置iptables至关重要,因为它有助于理解数据包是如何被处理、过滤或修改的。 -...
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
iptables防火墙学习笔记.docx
04-10
iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记
iptables进阶配置
weixin_33875839的博客
11-27 59
含有四张表 内核为2.6的。。。 管理和设置IPTABLES 规则 严格区分大小写。。。。 小写 大写 大写 iptables [-t 表名] 管理选项【链名】【条件匹配】【-j 目标动作或跳转】 注意: 不指定表名时,...
CentOS7 的时间同步方法
热门推荐
Ghost_02的博客
10-24 2万+
centos7 时间同步和时区设置 首先centos7的时间同步是使用chrony这个工具( [root@localhost ~]# systemctl status chrony ● chrony.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead)
学习笔记之CentOS启动故障解决方法
Ghost_02的博客
11-21 2万+
1.由于MBR中的Bootloader损坏而无法启动     启动不了的现象        一直死等,有可能自动更换启动设备置PXE网卡启动,或者U盘启动。因为BIOS的启动第一项硬盘启动找不到了。网卡启动现象如图        解决方法: 从U盘启动。进救援模式
网络名称空间netns的用法
Ghost_02的博客
05-02 1万+
ip命令        linux 的强大的网络配置命令‘ip’。 netns可以让一台机器上模拟多个网络设备,是网络虚拟化的重要组成,将不同类型的网络应用隔离。 一个net namespace有自己独立的路由表,iptables策略,设备管理。说来说去,它就是用来隔离的。比如将eth0加入了netns 1,那么netns 2中的应用程序就找不到eth0了。netns 1中的
使用LVS 实现负载均衡的原理。
Ghost_02的博客
02-22 1万+
LVS 负载均衡            负载均衡集群是 Load Balance 集群。是一种将网络上的访问流量分布于各个节点,以降低服务器压力,更好的向客户端提供服务的一种方式。常用的负载均衡 开源软件有Nginx、LVS、Haproxy      (ngnix和haproxy是七层负载均衡,LVS是四层负载均衡) 商业的硬件负载均衡设备F5、Netscale。 简单的理解一
全文搜索引擎Elasticsearch6.x 入门
Ghost_02的博客
01-17 1万+
全文搜索的需求非常大。而开源的解决办法Elasricsearch(Elastic)就是一个非常好的工具。目前是全文搜索引擎的首选。    Elastic 的底层是开源的Lucene。Elastic提供了REST API的操作接口。是Lucene的扩展。底层依旧是索引,但是可以把大索引切成n片,放到不同的节点,所以就实现了分布式。也就理所当然的是读写负载均衡。此外,他还是一个分布式实时文档
CentOS7下的PXE无人值守系统安装
Ghost_02的博客
10-31 1万+
为了满足同时安装上百台linux,而且不需要人工干预。这就需要PXE来通过网线自动安装linux 1.搭建yum源来下载必要的工具,yum源
Linux学习笔记:配置iptables防火墙与安全设置
本篇Linux学习笔记主要介绍了在Linux系统中进行网络配置和安全设置的一些关键步骤,以及使用iptables防火墙进行包过滤和策略管理。以下是对这些知识点的详细解释: 1. **网络接口设置**: 首先,脚本定义了外部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值