通过iptables的NAT转发规则实战

最新推荐文章于 2023-08-17 11:30:29 发布
最新推荐文章于 2023-08-17 11:30:29 发布
阅读量8.9k 收藏 11
点赞数 2
分类专栏: Linux 文章标签: iptables Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/change_can/article/details/86291759
版权

通过iptables的NAT转发规则实现在外网可以直接访问局域网内的服务器进行远程连接!

  • 服务器A:外网:xxx.xxx.xxx.xxx(公网IP) 内网:172.16.46.98
  • 服务器B:内网:172.16.37.124:3389
  • 服务器C:内网:172.16.37.10:3389

任务:实现xxx.xxx.xxx.xxx(公网IP):10022映射到172.16.37.124:3389;xxx.xxx.xxx.xxx(公网IP):10023映射到172.16.37.10:3389。

1、先开启ip路由转发功能

# echo 1 > /proc/sys/net/ipv4/ip_forward
#cat /proc/sys/net/ipv4/ip_forward
1
# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
#CentOS7 启用ip转发 # vim /etc/sysctl.d/99-sysctl.conf net.ipv4.ip_forward = 1

# sysctl -p
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key

注:此错误可以忽视,也可以使用下面命令解决。
使用以上3个选项阻止桥接流量获得通过主机iptables规则,Netfilter是默认情况下启用了桥梁,如果不阻止会导致严重的混乱。这个错误是由于自动处理可载入的模块bridge没有自动载入。

# modprobe bridge
# lsmod|grep bridge
bridge                 48077  0
stp                     2067  1 bridge
llc                     5352  2 bridge,stp
# sysctl -p
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

2、设置iptables的NAT转发功能

# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Dec 6 20:03:10 2016
*nat
:PREROUTING ACCEPT [4946:531492]
:POSTROUTING ACCEPT [5:384]
:OUTPUT ACCEPT [5:384]
-A PREROUTING -d xxx.xxx.xxx.xxx(公网IP)/32 -p tcp -m tcp --dport 10022 -j DNAT --to-destination 172.16.37.124:3389 
-A POSTROUTING -d 172.16.37.124/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.16.46.98:10022
-A PREROUTING -d xxx.xxx.xxx.xxx(公网IP)/32 -p tcp -m tcp --dport 10023 -j DNAT --to-destination 172.16.37.10:3389 
-A POSTROUTING -d 172.16.37.10/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.16.46.98:10023 
COMMIT
# Completed on Tue Dec 6 20:03:10 2016
# Generated by iptables-save v1.4.7 on Tue Dec 6 20:03:10 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:63156]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10022:10023 -j ACCEPT 
#-A INPUT -j REJECT --reject-with icmp-host-prohibited 
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Tue Dec 6 20:03:10 2016
# service iptables save 
# service iptables restart

nat端口转发设置成功后,/etc/sysconfig/iptables文件里要注释掉下面两行!不然nat转发会有问题!一般如上面在nat转发规则设置好并save和restart防火墙之后就会自动在/etc/sysconfig/iptables文件里删除掉下面两行内容了。
这两句的意思是:在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机

# iptables -t nat -L -n #查看防火墙nat规则
Chain PREROUTING (policy ACCEPT)
target prot opt source destination 
DNAT tcp -- 0.0.0.0/0 xxx.xxx.xxx.xxx(公网IP) tcp dpt:10022 to:172.16.37.124:3389 
DNAT tcp -- 0.0.0.0/0 xxx.xxx.xxx.xxx(公网IP) tcp dpt:10023 to:172.16.37.10:3389 

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination 
SNAT tcp -- 0.0.0.0/0 172.16.37.124 tcp dpt:3389 to:172.16.46.98:10022 
SNAT tcp -- 0.0.0.0/0 172.16.37.10 tcp dpt:3389 to:172.16.46.98:10023 

Chain OUTPUT (policy ACCEPT)
target prot opt source destination 
# iptables -L -n -v #查看防火墙nat规则
Chain INPUT (policy ACCEPT 30539 packets, 3412K bytes)
pkts bytes target prot opt in out source destination 
146 10386 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
6 461 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 
4 164 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 
2 132 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpts:10022:10023 

Chain FORWARD (policy ACCEPT 14 packets, 684 bytes)
pkts bytes target prot opt in out source destination 

Chain OUTPUT (policy ACCEPT 238 packets, 24643 bytes)
pkts bytes target prot opt in out source destination 
You have new mail in /var/spool/mail/root
change-can
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络桥接后通过iptables网络转发例子
10-10
通过桥接转发方式共享网络,分别可以使用以下方式: 通过ETH0连接互联网,ETH1和wlan1作为下联转发eth0网络 通过wlan0连接互联网,ETH1和wlan1作为下联转发wlan0网络 通过ppp0连接互联网,ETH1和wlan1作为下联转发ppp0网络
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
linux防火墙(转)
weixin_30265171的博客
10-16 165
Linux防火墙基本知识 来源: ChinaUnix博客  日期: 2008.10.30 23:59 (共有条评论) 我要评论 一、防火墙的分类 (一)、包过滤防火墙。 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包...
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
使用iptables进行NAT转发
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables配置NAT实现端口转发与ss命令的讲解
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
iptables nat表含义_iptablesNAT
weixin_39760389的博客
12-21 542
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的net表和filter表,在这里就简要的讲解下iptablesnat表,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat表是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
centos使用iptables实现nat端口转发
清雨小竹
06-14 1531
【代码】centos使用iptables实现nat转发
iptabels路由转发
m0_46681256的博客
08-17 985
请注意,以上操作可能需要root权限。此外,iptables的配置可能因系统版本和发行版而有所不同,请根据您的具体情况进行调整。保存iptables规则。如果返回的值为1,表示已经开启了IP转发功能。配置iptables规则。确保系统已经开启了IP转发功能。这样,在系统重启后,iptables规则会自动加载。这些规则只是示例,您可以根据实际需求进行调整。
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
iptablesnat的配置与管理
12-29
iptablesnat的配置与管理,对于iptables的配置与管理都有一定的基础。
libvirt-hook-qemu:Libvirt钩子,用于在使用NAT版本的网络时设置iptables端口转发规则
02-03
libvirt-hook-qemu:Libvirt钩子,用于在使用NAT版本的网络时设置iptables端口转发规则
iptables端口转发配置实现
C3399的博客
06-11 1万+
一、iptables简介 二、iptables端口转发实现 三、iptables端口转发实现过程的坑
iptables 端口转发
ailx10
07-11 1639
这次实验通过iptables 实现本地22端口转发和远程3389端口转发,同样从黑客视角只能看到跳板机到黑客IP的流量,但是在跳板机上可以看到双向流量,不管是本地转发还是远程转发,都是在跳板机上操作的,这一点和端口转发工具 rinetd一摸一样,可见,控制了跳板机,就控制了内网~实验1:将本地端口转发到本地端口iptables -t nat -A PREROUTING -p tcp --dport...
iptablesNAT配置(5)
weixin_33937499的博客
11-26 330
nat表需要的三个链:   1.PREROUTING:可以在这里定义进行目的NAT规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。 需要用...
Linux 通过 iptables 实现 nat 转发
有理论,有实验,有结论,可为一篇文章
08-17 3950
标记一下,今天想让一台Red Hat Enterprise Linux 7开通iptablesnat转发功能,找了半天。 A服务器:192.168.30.20/24 B服务器:192.168.30.1/24,eth0; 192.168.40.1/24,eth1 C服务器:192.168.40.20/24 目标:让A可以ping和ssh到c机器。这就需要通过B服务器来跳转。 操作过程: 1、在B服务器上开启内核路由转发参数 临时生效: echo “1” > /proc/sys/net/ipv4/ip
iptables 详解(NAT)
changexhao的专栏
10-24 5656
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables NAT 转发
最新发布
03-07
iptablesLinux系统中的一个工具,用*** Translation)是iptables的一个功能,用于实现网络地址转换和端口转发NAT转发是指将来自一个网络的数据包转发到另一个网络的过程。它通常用于将私有网络中的IP地址转换为公共网络中的IP地址,以实现内部网络与外部网络的通信。 在iptables中,可以使用以下命令配置NAT转发规则: 1. 配置源地址转换(SNAT): - 使用`-t nat -A POSTROUTING -s 源IP/子网掩码 -j SNAT --to 目标IP`命令将源IP地址转换为目标IP地址。 - 例如,`iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 203.0.113.10`将192.168.1.0/24网段的源IP地址转换为203.0.113.10。 2. 配置目标地址转换(DNAT): - 使用`-t nat -A PREROUTING -d 目标IP -j DNAT --to-destination 目标地址`命令将目标IP地址转换为目标地址。 - 例如,`iptables -t nat -A PREROUTING -d 203.0.113.10 -j DNAT --to-destination 192.168.1.10`将目标IP地址为203.0.113.10的数据包转发到192.168.1.10。 3. 配置端口转发: - 使用`-t nat -A PREROUTING -i 输入接口 -p 协议 --to-destination 目标IP:目标端口`命令将源端口转发到目标IP和目标端口。 - 例如,`iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:8080`将来自eth0接口的80端口的数据包转发到192.168.1.10的8080端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值