针对端口转发的iptables设置

最新推荐文章于 2024-08-09 13:08:38 发布
最新推荐文章于 2024-08-09 13:08:38 发布
阅读量2.1k 收藏
点赞数
分类专栏: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daye704/article/details/80332145
版权

场景:一个路由器上运行了监听着80端口的web。路由器有lan口,有wan口,lan口下设备允许访问该路由器的80端口。而wan口的设备有以下要求:

    1.禁止访问路由器80端口

    2.允许指定的ip地址(包含 ipv4 ipv6)访问8888端口来进入网页

针对这个需求,以下是我的解决思路:

    1.用iptables 禁止来自wan口的数据访问设备80端口;

    2.筛选ip,将符合条件的ip地址,且目标是8888端口的数据转发到80端口。

用到的技术分析:

    1.端口转发技术, DNAT

    2.ipv4 ip条件筛选

    3.ipv6 ip条件筛选

技术实现:

1.端口转发

    iptables -t nat -I PREROUTING -i br0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.8.1:80

    参数含义:

        -t nat : 应用在nat表

        -I PREROUTING:应用在PREROUTING链

        -i br0:指从br0过来的数据

        -p tcp:tcp协议的数据

        -dport:8888 目标是访问8888端口

        -j DNAT:进行网络地址转换

        --to-destination 192.168.8.1:80:目标地址改为192.168.8.1:80

2.ipv4 ip 条件过滤

过滤有几种情况,一个是带掩码的过滤,一个是直接指示地址池的过滤

    2.1掩码过滤:

        iptables -t nat -I PREROUTING -i br0 --source 192.168.8.0/30 -p tcp --dport 8888 -j DNAT --to-destination 192.168.8.1:80

    2.2地址池的过滤:

        iptables -t nat -I PREROUTING -i br0 -m iprange --src-range 192.168.8.10-192.168.8.120 -p tcp --dport 8888 -j DNAT --to-destination 192.168.8.1:80

3.ipv6 ip条件过滤

ip6tables可以做到过滤,如禁止某个地址段访问某个端口:

    ip6tables -t filter -A INPUT -i wan1 -p tcp --source 2400:f000:c000:10::/60 --dport 80 -j DROP

        -i wan1: 指定从wan口上来的地址

        --source: 制定ipv6地址段

但ipv6的存在,能给地球上每一颗沙子都配上ip地址,因此nat转换实现很艰难,甚至是没有nat表,因此条件可做,nat不行。

看起来此方案行不同,要另寻方法。

郑达
关注
专栏目录
ip6tables命令 IPv6的防火墙命令
01-20
ip6tables命令和iptables一样,都是linux中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。 语法格式:ip6tables [参数] 常用参数: -A 向规则链中添加条目 -D 从规则链中删除条目 -i 向规则链中插入条目 -L 显示规则链中已有的条目 -F 清楚规则链中已有的条目 -p 指定要匹配的数据包协议类型 -s 指定要匹配的数据包源ip地址 -j 指定要跳的目标 参考实例 查看当前的 IPv6 防火墙配置: [root@linuxcool ~]# ip6tables -L 查看当前的 IPv6 防火墙
iptables nat ip地址
weixin_34297300的博客
10-20 321
一、设置在 192.168.152.195 上 设置 将 对 192.168.152.195的请求发到172.17.0.2 并实现 逆iptables -t nat -A PREROUTING -d 192.168.152.195 -j DNAT --to-destination 172.17.0.2iptables -t nat -A POSTROUTING -d 17...
openwrt下,用iptable发端口访问远程的SMB服务
最新发布
jiong0818的博客
08-09 669
iptales指令的详细教程:https://blog.csdn.net/weixin_44390164/article/details/120500075。
ipv6以及ip6tables的nat
banchan5444的博客
02-28 5488
一、IPV6   IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是互联网工程任务组(IETF)设计的用于替代IPv4的下一代IP协议,其地址数量号称可以为全世界的每一粒沙子编上一个地址。 由于IPv4最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入...
常用iptables命令及概念总结
精彩的艺术
12-10 710
开启目的端口22访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT 开启源端口22访问 iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 显示nat表的PREROUTING链的规则: iptables -t nat -nL PREROUTING --line-numbers 端口转发iptables -t nat -A PREROUTING -p tcp -i b...
iptables--IP地址
weixin_30733003的博客
08-14 291
一、iptables介绍 iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,会觉得它很复杂,但是一旦理解iptables的工作原理,会发现其实它很简单。 四表   filter表:过滤规则表  nat表:地址换...
iptables 实现数据
weixin_46381158的博客
09-05 1584
现有两台机器,一台windows机器,IP配置如下: 以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 本地链接 IPv6 地址. . . . . . . . : fe80::f424:643c:e471:eb24%12 IPv4 地址 . . . . . . . . . . . . : 192.168.3.20 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . .
一文带你了解iptables用法及端口转发
MSB_WLAQ的博客
10-09 3447
一、iptables简介 1.定义: iptables的是一个用户空间实用程序,其允许系统管理员来配置IP分组过滤器规则的的Linux内核 防火墙,因为不同的实施Netfilter的模块。过滤器组织在不同的表中,其中包含有关如何处理网络流量数据包的规则链。不同的内核模块和程序目前用于不同的协议;iptables适用于 IPv4,ip6tables适用于IPv6,arptables 适用于ARP,ebtables 适用于以太网帧。 2.操作: IPTABLES需要提升权限才能操作,必须由root用户执
从 IPv4 向 IPv6 的迁移
商务合作|种草文章|产品测评
07-27 2431
如果没有明确的迁移方法的话,将无法实施一种新的路由协议,迁移过程越简单,就越可能实施新协议。IPv6 与 IPv4 之间的互动操作性是势在必行的,IPv6 节点需要与 IPv4 节点进行通信,至少在初始阶段是这样的,而且在互通时间上还可能非常不确定。NGTRANS IETF 工作制定了多种迁移方法来推动从 IPv4 向 ipv6 的迁移工作,并确保 IPv4 与 IPv6 之间的兼容性。......
Iptables 中文指南
07-23
6.4.4. 针对非正常包的匹配 6.5. Targets/Jumps 6.5.1. ACCEPT target 6.5.2. DNAT target 6.5.3. DROP target 6.5.4. LOG target 6.5.5. MARK target 6.5.6. MASQUERADE target 6.5.7. MIRROR target 6.5.8...
k8s iptables_study.docx
02-14
**KUBE-SERVICES**链的功能是根据目标IP地址和端口查找匹配的服务规则,执行相应的动作,如重定向、负载均衡等。 #### 三、数据包流向详解 以发给本地主机的数据包为例,其流向过程如下: 1. 数据包到达网络接口...
iptables权威指南
03-22
- **其他示例脚本**:提供了多个针对特定场景的iptables配置脚本,如DMZ、DHCP等环境下的配置示例。 #### 九、附录 - **常用命令详解**:列出并解释了iptables的常用命令及其使用方法。 - **常见问题与解答**:...
ubuntu双网卡设置内外网上网问题,实现路由
11-12
注意:这里的`gateway` 配置只针对`eth1`,因为数据包需要通过eth1发到外网。 ##### 3. 重启网络服务 配置完成后,需要重启网络服务使更改生效: ```bash sudo /etc/init.d/networking restart ``` ##### 4. ...
iptables配置3.pdf
10-30
filter表中有三个内置链:INPUT(针对进入本机的数据包)、OUTPUT(针对本机产生的数据包)和FORWARD(针对通过本机发的数据包)。 2. **nat表**:主要处理网络地址换(NAT),如端口映射和地址映射,它包含...
【让云服务器更灵活】iptables发tcp/udp端口请求
机器人梦想家 Bing
12-21 4042
路由发是计算机网络中的一种重要概念,特别是在网络设备和系统之间。它涉及到如何处理和传递数据包,以及决定数据包应该发送到哪个网络设备或路由表中的哪条路径,iptables是本文主要应用的软件技术。12本机端口转发到本机其它端口本机端口转发到其它机器本地服务器搭建samba共享文件夹,挂载到云服务器本地服务器搭建gitlab服务器,挂载到云服务器本地搭建的其它服务器挂载到云服务指定端口。
Linux防火墙iptables地址换(内容还没完善好)
qq_51545656的博客
11-11 417
通过。
如何使用iptables将本地80端口的请求发到8080端口,当前主机IP为192.168.16.1,其中本地网卡eth0:
yy1506438689的博客
09-04 1095
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.16.1:80
IPv4如何换为IPv6?
weixin_43226231的博客
07-19 6364
ipv6已经逐渐在应用,现在已经有很多的运营商支持ipv6,前天我们也发布了如何让电脑使用ipv6地址?有很多朋友在问?ipv6有什么作用,它的表示方式是什么,今天我们来一起来详细了解下ipv6相关计算与换。 一、什么是ipv6? 我们现在用的是ipv4的地址是32位,例如这样的,59.123.123.123。总数大约有43亿个左右,地球上每个人平均分不了一个,更别说每台电脑了,还要减...
防火墙之地址换SNAT DNAT
热门推荐
chengxuyuanyonghu的专栏
03-21 3万+
防火墙之地址换SNAT DNAT 一、SNAT源地址换。 1、原理:在路由器后(PSOTROUTING)将内网的ip地址修改为外网网卡的ip地址。 2、应用场景:共享内部主机上网。 3、设置SNAT:网关主机进行设置。  (1)设置ip地址等基本信息。  (2)开启路由功能:  sed -i '/ip-forward/s/0/1/g'
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值