iptables防火墙详解(三)

最新推荐文章于 2023-05-24 15:33:07 发布
最新推荐文章于 2023-05-24 15:33:07 发布
阅读量2w 收藏
点赞数 1
分类专栏: linux linux,iptables,centos7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/birdie_l/article/details/77990291
版权 
linux 高级路由  策略路由(mangle表)  
lartc(linux advanced routing and traffic control)
http://www.lartc.org
# rpm -qa |grep iproute		--iproute工具包软件
iproute-3.10.0-74.el7.x86_64

ip命令就属于iproute软件包
ip addr
ip neigh
ip rule
ip route
ip tunnel
==============================================
# ip rule list
0:	from all lookup local 
32766:	from all lookup main 
32767:	from all lookup default
# cat /etc/iproute2/rt_tables	
#
# reserved values
#
255	local
254	main
253	default
0	unspec
#
# local
#
#1	inr.ruhep

# ip route list/show table local/255
# ip route list/show table main/254
# ip route list/show table default/253
=============================================================
	50 内网用户    ---------》路由器1--》 猫1 (快网络)
			   		    
	50 内网用户  ----------》路由器2 --》猫2 (慢网络)			
应用实例1:				   
	               ---------》路由器1--》 猫1  (快网络)
		     |	
		       |	
	100  内网用户  ----linux路由
		      |	
		      |		    
		       ---------》路由器2 --》 猫2 (慢网络)
linux路由器有两条上网线路,一个快,一个慢
有这样的需求:内网用户需要给钱共享上网,有人给钱多,需要快线路,有人给钱少,需要快线路,这样的话,我们就可以使用策略路由了

模拟的话使用下面的图:
						172.16.25.2
			    ----------》VM2(连到br0)     线路一
			    |	
	192.168.100.128	    |		172.16.25.1  	br0	
	 VM1(连到virbr1)----linux路由192.168.100.1   virbr1  公网
			    |		192.168.101.1   virbr2    
			    |
			     ---------》VM3 (连到vribr2) 线路二
						192.168.101.128 
上图架构中:
1.把VM1网关指向192.168.100.1
2,把linux路由器的网关指向172.16.25.2
3.linux路由打开ip_forward
4,这四台的iptables都关闭

先测试:在VM1上ping一个外网IP(如 ping 8.8.8.8),这个时候在VM2和VM3上抓包,但只能在VM2上抓到相关的包,表示数据包从VM2出去
# tcpdump -i eth0  icmp and src 192.168.100.128

然后通过下面的策略让VM1ping的包从VM3出去

下面就是在linux路由上进行操作来实现:
操作命令:
echo 200 t1 >> /etc/iproute2/rt_tables
ip rule add from 192.168.100.128  table t1  
ip route add default via 192.168.101.128 dev virbr2 table t1
ip route flush cache

--如果加错了规则,想删掉,就使用ip rule del table t1删除规则,再ip route del default via 192.168.101.128 dev virbr2 table t1删除t1路由表的网关

操作完后,测试
1,在内网ping 8.8.8.8
2,在两个模拟外网路由器的机器上抓包
# tcpdump -i eth0  icmp and src 192.168.100.128
3,结果这次只能在VM3上抓到包,OK

应用实例2:
						172.16.25.2
			    ----------》VM2(连到br0)     线路一
			    |	
	192.168.100.128	    |		172.16.25.1 	 br0	
	 VM1(连到virbr1)----linux路由192.168.100.1   virbr1  公网
			    |		192.168.101.1   virbr2    
			    |
			     ---------》VM3 (连到vribr2)   线路二
						192.168.101.128 

要实现不同类型的包走不同的线路:如80的访问走一条线,其它的走另外一条线路
实现不同类型的包的策略路由,就要借助于iptables的mangle表的set mark功能

1,在linux路由器上使用策略路由实现

# iptables -t mangle -A PREROUTING -i virbr1 -p tcp --dport 80 -j MARK --set-mark 1		--把从内网进来要出去的80的包打标记为1

# echo 100 http.out >> /etc/iproute2/rt_tables	    --建一张叫http.out的表,表编号100

# ip rule add fwmark 1 table http.out pref 20000  --指定打了标记为1的所有包都走http.out这张路由表,并指定优先级为20000
# ip route add default via 192.168.101.128 dev virbr2 table http.out  --指定http.out表从virbr2出去找192.168.101.128
# ip route flush cache		--刷新路由缓存

2,测试
测试一:在内网192.168.100.128客户端上
elinks 8.8.8.8
在模拟两个线路的机器上都执行下面的命令
tcpdump -i eth0 tcp port 80
--只有线路二上能抓到包,OK
测试二:在内网192.168.100.128客户端上
ping 8.8.8.8
在模拟两个线路的机器上都执行下面的命令
tcpdump -i eth0  icmp
--只有线路一上能抓到包,OK
--从上面就可以看到出去的80端口的包和其它的包走的路线不一致

iptables的mangle表打标记的应用举例:
1,刚讲的例二
2,iptables的mangle打标记+tc 做流量控制(这个课程不讨论,有兴趣上网去搜)
3,iptables的mangle打标记+LVS 做负载均衡

============================================================================
问题:
要求:写出这个电信用户访问到双线web服务器时的IP变化过程(只写源IP,目标IP,和做SNAT还是DNAT等)
你觉得有没有问题?
192.168.100.100				       192.168.2.100
		电信用户        网通用户
		  | 		  |	
192.168.100.1	  |		  | 	       192.168.2.1
    	电信用户家里路由器     网通用户家里路由器 	
51.1.2.3	  |		 |		61.1.2.3
		  |www.abc.com	 | 				
		  |	  	 |
71.1.2.3          |		  |		81.1.2.3
	     机房电信路由器   机房网通路由器
10.1.1.1	  |	          |		172.16.2.1
		  |		 |
		  |		 | 
10.1.1.100     eth0 双线web服务器 eth1		172.16.2.100

实验环境:
精简一点可以使用下面的四台虚拟来做,并且要注意宿主机(真实机)不能在这里扮演角色,因为宿主机和任何虚拟机都是可以直接通的
下图中,电信客户端和网通客户端就没有使用去模拟路由器NAT,直接用一台虚拟机用两个网卡来模拟两个角色


172.16.25.2      br0   客户端     virbr1	192.168.100.129
		  |		  |
		  |		  | 				
		  |	  	  |
172.16.25.3	  br0		 virbr1		192.168.100.128
	     机房电信路由器1	  机房网通路由器2
192.168.101.128	 virbr2	 	 virbr3		192.168.102.128
		  |		  |
		  |		  | 
192.168.101.129	 virbr2 双线服务器 virbr3 	192.168.102.129

准备好上图架构的ip后
第一步:
在双线web服务器安装并启动httpd,做一个主页方便测试
# yum install httpd httpd-devel
# echo "main page" > /var/www/html/index.html
# systemctl start httpd

第二步:
电信路由器上做dnat(还要打开ip_forward) 
# systemctl restart firewalld.service
# firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.101.129
网通路由器上做dnat(还要打开ip_forward) 
# systemctl restart firewalld.service
# firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.102.129

第三步:
在双线web服务器上使用策略路由实现
# ip rule
0:	from all lookup local 
32766:	from all lookup main 
32767:	from all lookup default 

# echo 100 dianxin >> /etc/iproute2/rt_tables 
# echo 200 wangtong >> /etc/iproute2/rt_tables 

# ip rule add from 192.168.101.129 table dianxin
# ip rule add from 192.168.102.129 table wangtong

# ip route add default via 192.168.101.128 table dianxin
# ip route add default via 192.168.102.128 table wangtong

第四步:
客户端elinks测试,两个线路都ok
RunningTeenager
关注
专栏目录
iptables防火墙详解
Micky_Yang的博客
03-28 451
1、iptables介绍 iptables是工作在linux内核空间的防火墙软件。具有非常强大的功能,可以实现自定义包过滤,源地址、目标地址、源端口、目标端口转换等。iptables会根据对数据包的分析来“比对”预先定义的规则内容进行匹配,若数据包与规则内容相同则进行相应的的动作处理,否则就继续下一条规则的比对;如果没有所匹配的规则,则iptables会执行默认策略。 2、iptables的表和链...
Iptables防火墙策略详解
qq_42941888的博客
03-04 2712
Iptables防火墙策略详解 一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则
ip rule 中的fwmark表示什么意思?
qq_46506007的博客
12-28 3766
掩码是用来确定 fwmark 所代表的意义,比如把 fwmark 设置为 0x01,掩码设置为 0x01,则表示只有 fwmark 的最低位是 1 的数据包才会被筛选出来。3. 将两个字符串进行“与”运算,即将两个字符串的每一位进行比较,如果两位都是1,则为1,否则为0,最终结果为“000000001010101100000001”上面的命令将使用fwmark 0xF0000000和掩码0xFF000000来标记网络流量,并将其设置为fwmark 0x1。1. 指定 fwmark 参数,比如 0x01;
linux常识:添加静态路由
IT零起步 — 专注运维、开发、信息安全!
03-29 1354
方法一:使用命令route //添加路由 # route add -host 192.168.0.221 dev eth0 # route add -host 192.168.1.221 gw 192.168.1.1 # route add -net 192.168.0.221/24 dev eth0 # route add -net 192.168.1.221/24 gw 192.
ip route 路由命令详解
sun007700的专栏
01-30 1万+
ip route
理解 OpenStack 高可用(HA)(3):Neutron 分布式虚拟路由(Neutron Distributed Virtual Routing)
zhuangshu_feng'‘每天进步一点点
11-08 1456
理解 OpenStack 高可用(HA)(3):Neutron 分布式虚拟路由(Neutron Distributed Virtual Routing) 本系列会分析OpenStack 的高可用性(HA)概念和解决方案: (1)OpenStack 高可用方案概述 (2)Neutron L3 Agent HA - VRRP (虚拟路由冗余协议) (3)Neutron L3 Agent H
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和...
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
ip rule ,ip tables ,ip route 的过程
最新发布
qq_46506007的博客
05-24 2492
ip rule ,ip tables ,ip route 的过程
linux网络知识:路由策略(ip rule,ip route)
西江物联的博客
05-28 4286
目录 一,路由策略(使用ip rule命令操作路由策略数据库) 二,路由表(使用ip route命令操作静态路由表) ip rule,ip route,iptables 者之间的关系 一,路由策略(使用ip rule命令操作路由策略数据库) 基于策略的路由比传统路由在功能上更强大,使用更灵活,它使网络管理员不仅能够根据目的地址而且能够根据报文大小,应用或IP源地址等属性来选择转发路径。 ip rule命令: Usage: ip rule [ list | add | del ] SE.
策略路由以及使用 ip route , ip rule , iptables 配置策略路由实例
热门推荐
bytxl的专栏
08-09 3万+
http://blog.sina.com.cn/s/blog_659b48590100n2q6.html 公司内网要求192.168.0.100以内的使用 10.0.0.1 网关上网(电信),其他IP使用 20.0.0.1 (网通)上网   首先要在网关服务器上添加一个默认路由,当然这个指向是绝大多数的IP的出口网关。   ip route add default gw 20.0.0
靶场练习第二十五天~vulnhub靶场之Raven-2
qq_57976347的博客
02-18 1073
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A 192.168.101.128 2.网站的信息收集 (1)靶机开放了80端口,先访问靶机网站看看有什么有用的信息 访问靶机网站,
【网络】route和 IP route的区别|route 和 IP route 添加路由
小鱼菜鸟的博客
10-04 5473
目录 route和 IP route的区别 route 和 IP route 显示路由 route 和 IP route 添加路由 route 添加路由 IP route 添加路由 添加的路由持久化 linux下添加路由的方法 使用 route 命令 使用ip route 命令 route和 IP route的区别 route...
redis 分布式缓存 详解
共勉
12-17 3421
Redis命令操作、Redis持久化、Spring整合Redis、Redis的分布式缓存、主从复制、哨兵监测、集群搭建、分布式Session实现
理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(上)
qq_34043421的博客
05-20 1207
理解 OpenStack 高可用(1):OpenStack 高可用和灾备方案(上) 理解 OpenStack 高可用(1):OpenStack 高可用和灾备方案(下) 理解 OpenStack 高可用(2):虚拟路由冗余协议(上) 理解 OpenStack 高可用(2):虚拟路由冗余协议(下) Neutron 作为 OpenStack 一个基础性关键服务,高可用性(HA)和...
linux ip route 命令详细解释
scdxmoe的专栏
08-18 3万+
D.2. ip route Another part of the iproute2 suite of tools for IP management, ip route provides management tools for manipulating any of the routing tables. Operations include displaying route
启动hive时报: Call From hadoop /192.168.1.128 to hadoop :9000 failed on connection的原因之一hadoop启动没有Namenod
追梦人的博客
07-14 5776
昨天上午启动集群,发现master莫名其妙引导坏了,修了半天也修不好,无奈之下把原来搭的集群的master“嫁接”到这个集群里(动态节点增删)。 昨天shutdown now关机后,今天开机启动hive又不行了, 主要部分错误代码: Exception in thread "main" java.lang.RuntimeException: java.net.ConnectException: Call From master/192.168.80.128 to master:9000 failed o
Linux iptables防火墙详解:规则、模块与配置
iptables是Linux系统中广泛使用的网络包过滤工具,它属于netfilter项目的一部分,用于实现防火墙功能。iptables主要分为四个工作模式:filter、nat、mangle和raw,它们分别对应着不同的网络包处理阶段:INPUT(接收...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值