iptables-nat表的应用

最新推荐文章于 2024-07-14 21:53:39 发布
最新推荐文章于 2024-07-14 21:53:39 发布
阅读量268 收藏
点赞数
分类专栏: Iptables 文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_hristmas/article/details/107596022
版权

NAT表的应用

filter表的核心功能:主机防护墙

nat表的核心功能:IP及端口的映射转换

​ 1、共享上网

​ 2、端口映射

共享上网
模式

​ 网关B:

​ eth2 10.0.0.51 配上级网关 10.0.0.2

​ eth3 172.16.1.51 不配网关

​ 服务器C(局域网内部主机):

​ eth3 172.16.1.52 网关 172.16.1.51

步骤

(1)服务器C只留一个网卡,使用ipdown命令来禁用多余的网卡:

	ipdown eth0

使用route命令将服务器C默认网关设置为 172.16.1.51:

	route del default gw 172.16.1.8

	route add default gw 172.16.1.51

现在服务器C是不能上网的,可以ping 203.81.19.1测试。

(2)准备工作:

​ 1)内核文件/etc/sysctl.conf里开启转发功能。
​ 在服务器网关B 机器.上开启路由转发功能。编辑/etc/sysctl.conf 修改内容为net.ipv4.ip_ forward = 1,然后执行sysctl -p使修改生效。

​ 2)iptables 的filter 表的FORWARD链允许转发
​ Chain FORWARD (policy ACCEPT)

​ 3)不要filter防火墙功能,共享上网,因此,最好暂时停掉防火墙测试/etc/init.d/iptables
stop.|

(3)实际处理的局域网共享.上网NAT命令
linux网关B:
局域网共享的两条命令方法:
方法1:适合于有固定外网地址的:
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 i SNAT - to-source 10.0.0.51
(1)-s 172.16.1.0/24 办公室或IDC内网网段。
(2)-0 eth0为网关的外网卡接口。
(3)-j SNAT -to-source 10.0.0.51 是网关外网卡IP地址。
方法2:适合变化外网地址(ADSL) :
iptables -t nat -A POSTROUTING -s 172. 16.1.0/24 -j MASQUERADE #伪装。

为什么用POSTROUTING?
企业共享_上网: .
1、办公网共享上网(网关要有外网IP, 否则用路由(zebra) )。
2、IDC内网机器.上网。
(3)企业上网到底需要不需要linux网关?
解答:
1)如果有企业路由器的情况下,可以不需要上网网关。使用网关只是解决路由器无法解决的需求。(例如:上网行为,IP及端口的映射,网关杀毒)

​ 2) IDC机房,大厦有固定外网IP的宽带,直接用网关解决上网及控制问题。

端口映射

浏览器里访问10. 0. 0. 5:9000 —》 172. 16. 1. 52:80

使用:NAT PREROUTING

iptables -t nat -A PREROUTING -d 10. 0.0.51 -p tcp --dport 9000 -j
DNAT -- to-destination 172. 16. 1. 52:80

企业应用场景:
1)把访问外网IP及端口的请求映射到内网某个服务器及端口(企业内部)。
2)硬件防火墙,把访问LVS/nginx外网VIP及80端口的请求映射到IDC负载均衡
服务器内部IP及端口上(IDC 机房的操作)。

ip映射

​ 实现外网ip和内网ip的一对一映射

企业内部局域网生产映射案例:实现外部IP 124.42.34.112 一对一映射到内部server
10.0.0.8
网关Ip:eth0:124.42.60.109 eth1:10.0.0.254
首先在路由网关.上绑定VIP 124.42.34.112, 可以是别名或辅助IP的方式。

-A POSTROUTING -s 10.0.0.0/255.255.240.0 -d 124.42.34.112 j SNAT --to-source
10.0.0.254
-A PREROUTING -d 124.42.34.112 -j DNAT --to-destination 10.0.0.8
-A POSTROUTING -s 10.0.0.8 -o eth0 -j SNAT --to-source 124.42.34.112

映射多个外网IP上网:

问题:
1、2000人被封
2、可用65535端口资源有限

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.103-124.42.60. 106
#iptables -t nat -A POSTROUTING -s 192.168.1.0/22 -o eth0 -j SNAT --to-source
10.0.0.241-10.0.0.249

问题:
1、2000人被封
2、可用65535端口资源有限

总结

iptables常用企业案例:
1、linux 主机防火墙(表:FILTER链: INPUT) 。
2、局域网机器共享上网(表: NAT链: POSTROUTING)
iptables -t nat -A POSTROUTING -S 192.168.1.0/24 -0 eth0 d SNAT - to source 10.0.0.7
3、外部地址和端口,映射为内部地址和端口(表: NAT链: PREROUTING)
iptables -t nat -A PREROUTING -d 10.0.0.7 -P tcp --dport 80 j DNAT --to-destination
192.168.1.8:9000

c_hristmas
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables的四五链与NAT工作原理
tinychen
02-25 2408
本文主要介绍了iptables的基本工作原理和四五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
iptables 用法总结
h721510279812的专栏
09-03 708
一、iptables IP和mac绑定 方法一:iptables iptables -A FORWARD -s 10.10.0.2 -m mac --mac-source 00:10:4b:15:16:6c -j ACCEPT   就将 10.10.0.2 与其MAC地址绑定了 方法二:arp  1 .建立 /etc/ether 文本文件(文件名可以任取),其中包含正确的IP/MAC对应
LinuxiptablesNAT)讲解篇
qq_62311779的博客
06-18 4445
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT: ——查看iptables配置 SNAT(源地址转换):...
运维知识进阶篇】iptables防火墙详解(iptables执行过程+与链概述+iptables命令参数+配置filter规则+NAT实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9038
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
iptables nat含义_iptablesnat
weixin_39848970的博客
12-21 682
iptablesnat表可以实现SNAT, DNAT, 双向NAT和两次NAT.一. 源地址NAT1. 标准的SNATSNAT的目的是进行源地址转换,应用于POSTROUTING规则链.在路由决定之后应用.SNAT与出站接口相关,而不是入站接口. 语法如下:iptables -t nat -A POSTROUTING -o -j SNAT --to-source [-][:port-port]...
iptables基础-配置iptables
weixin_41951170的博客
04-20 332
配置iptables配置iptables 配置iptables centos7以上版本,默认防火墙为firewall,需要将fairewall关闭后开启iptables,如下为配置步骤及命令。 查看firewall状态并关闭 查看防火墙状态 [root@hostname ~]#firewall-cmd --state running 关闭firewall [root@hostname ~]#sy...
rust-iptables:iptables的Rust绑定
05-07
iptables 此板条箱为Linux中的应用程序提供了绑定(受启发)。 这个板条箱使用iptables二进制文件来操作链和。 此源代码是根据MIT许可(可在LICENSE文件中找到)许可的。 [ dependencies ]iptables = " 0.4 ...
linux24-iptables
08-10
4. **raw**:主要用于在netfilter规则应用之前处理原始数据包,通常用来设置某些特殊标志,避免特定的数据包被进一步处理。 在使用iptables时,有一些基本命令和选项,例如: - `-A`:追加规则到指定链的末尾。 ...
iptables-1.1.9指南中文版(PDF)
10-21
2. **nat**(NAT):网络地址转换,用于修改数据包的源或目标IP地址和端口,通常用于端口转发和SNAT(源NAT)/DNAT(目标NAT)操作。 3. **mangle**:用于对数据包进行特殊标记或修改,如TOS字段的更改或QoS...
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
【IT十八掌徐培成】Linux第02天-04.网络连接方式-桥接-NAT-OnlyHost-静态ip配置.zip
08-13
Linux中,通过iptables工具可以实现NAT功能。NAT模式下,虚拟机的内部网络被隐藏,所有对外通信的IP地址都会显示为宿主机的IP。这样既能节省IP资源,又能提供一定程度的安全保护,因为外部网络无法直接访问到...
iptables nat含义_iptablesNAT
weixin_39760389的博客
12-21 553
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的net和filter,在这里就简要的讲解下iptablesnat,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
LinuxiptablesNAT)——实验篇
qq_62311779的博客
06-17 2580
一、SNAT(源地址转换)——实验设备:—— 实现目的:——实验拓扑:——实验配置: (1) windows设置IP地址及网关:(2) 配置linux网关服务器网卡及ip:(3) 配置linux web服务器网卡及ip:(4) Linux网关服务器写入规则:(5)验证:windows访问web服务:二、出现问题及解决 :MASQUERADE(IP伪装)​​​​​​​三、DNAT(目标地址转换) ——实验目标:——实验设备:——实验拓扑: ——实验原理:—— Linux 网关服务器配置: (3)
iptables配置NAT实现端口转发与ss命令的讲解
热门推荐
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
iptablesnat的学习和实验
北风
01-12 2193
本次实验接着上一篇博客《iptables之filter的学习和实验》进行(https://blog.csdn.net/weixin_40042248/article/details/112477946),主要实现iptablesnat的功能。 实验目标:实现在ns1空间访问其他的外部网址、添加nat规则后对数据抓包分析ns1访问ns2或者ns3的过程、实现ns1访问www.baidu.com。 理论知识补充: 1、什么是NATnat:Network Address Translatin,网
iptables nat含义_【4】iptables理解 - nat
weixin_39943220的博客
12-21 856
nat:转换包的源或目标地址,此有三条链,分别是: PREROUTING(路由前)、POSTROUTING(路由后)、OUTPUTiptables -t nat -L -nChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy AC...
iptables 详解(NAT)
changexhao的专栏
10-24 5811
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
最新发布
weixin_73359101的博客
07-14 1165
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
iptables nat 端口转发
11-03
其中,natiptables中的一个重要,用于实现网络地址转换(NAT)功能。端口转发是NAT的一种应用,它可以将来自外部网络的请求转发到内部网络的指定端口上,从而实现内网服务对外提供访问的功能。iptables nat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值