Linux防火墙-nat表

于 2024-09-29 21:14:26 发布
阅读量587 收藏 10
点赞数 7
分类专栏: Linux进阶 # Linux防火墙 文章标签: linux 智能路由器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dessler/article/details/142643775
版权

作者介绍:简历上没有一个精通的运维工程师。希望大家多多关注作者,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

我们经过上小章节讲了Linux的部分进阶命令,我们接下来一章节来讲讲Linux防火墙。由于目前以云服务器为主,而云服务器基本上就不会使用系统自带的防火墙,而是使用安全组来代替了防火墙的功能,可以简单理解安全组就是web版的防火墙,我们主要从以下几个方面来讲解Linux防火墙:

Linux防火墙-什么是防火墙

Linux防火墙-4表5链

Linux防火墙-filter表

Linux防火墙-nat表(本章节)

Linux防火墙-常用命令

Linux防火墙-案例(一)

Linux防火墙-案例(二)

Linux防火墙-小结

上一小节,我们介绍了filter表,主要功能就是作为服务器入口,主要功能就是限制或者屏蔽服务器的端口,确保服务器的安全,今天就来介绍下nat表,实际上nat表和我们家庭的路由器有相似的功能。

nat

NAT (Network Address Translation) 表在 iptables 中用于实现网络地址转换的功能。NAT 表允许您修改 IP 数据包中的源地址或目的地址,这对于私有网络与公共互联网之间的通信非常有用。NAT 表通常用于以下几种场景:

一、关联链及作用位置

NAT 表包含三个主要链:PREROUTING:处理所有进入接口的数据包,在它们被路由之前。POSTROUTING:处理所有离开接口的数据包,在它们被路由之后。OUTPUT:处理由本地系统生成的数据包。

  • PREROUTING 链:在数据包进入路由决策之前对其进行操作。主要用于 DNAT(目的网络地址转换),比如将外部网络发往特定公网 IP 和端口的数据包转换到内部服务器的私有 IP 和端口。例如,当有外部请求访问公司的网站服务器时,可在该链将公网 IP 对应端口的请求转发到内部的 Web 服务器的私有 IP 和端口。

  • POSTROUTING 链:在数据包经过路由决策准备离开本机时进行操作。主要用于 SNAT(源网络地址转换),通常用于让内网主机能够使用一个公网 IP 访问外部网络。比如将内网多个设备的私有 IP 地址转换为路由器的公网 IP 地址进行通信。

  • OUTPUT 链:用于处理本机产生的数据包。也可以用于一些特殊的 NAT 场景,例如本机作为一个代理服务器时,对本机发出的数据包进行地址转换操作。但相对前两个链,在 NAT 场景中使用频率稍低一些。

二、规则设置及示例

1.基本语法

SNAT
iptables -t nat -A POSTROUTING -s 源地址范围 -o 输出网卡接口 --to-source 转换后的源地址

假设要将内网 192.168.1.0/24 网段的所有流量的源地址转换为路由器的公网 IP 1.2.3.4,命令如下:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 1.2.3.4
DNAT
iptables -t nat -A PREROUTING -d 公网 IP 及端口 -j DNAT --to-destination 内部服务器私有 IP 及端口

如果要将外部访问公网 IP 的 8080 端口的流量转发到内网 IP 为 10.0.0.2 的 80 端口,命令如下:

 iptables -t nat -A PREROUTING -d 公网 IP -p tcp --dport 8080 -j DNAT --to-destination 10.0.0.2:80

-t nat  添加到nat表,如果不输入则是默认filter表

三、重要性及应用场景

  • 内网访问互联网:企业内部通常拥有大量的计算机、服务器和其他网络设备,这些设备一般使用私有 IP 地址范围(如 192.168.x.x、10.x.x.x 等)。通过在企业的网络出口设备(如路由器、防火墙等)上配置 NAT,将内部设备的私有 IP 地址转换为企业的公网 IP 地址,实现内部设备访问互联网上的各种资源。

  • 服务器对外发布:当企业内部有服务器需要对外提供服务时,如 Web 服务器、邮件服务器等,可以使用 NAT 的 DNAT(Destination Network Address Translation,目的网络地址转换)功能。将外部网络对企业公网 IP 特定端口的访问请求,转发到内部服务器的私有 IP 和相应端口上,使得外部用户能够访问到企业内部的服务器。

总结

1.家庭路由器实际上就是sant最典型的代表,dnat是由于运营商限制,没有对普通用户开放。

2.snat如下,服务器B就可以当成路由器,前提是服务器A需要把网关设置成服务器B。

图片

3.dnat如下,实际访问服务器A的端口,如果命中dnat规则最终请求会转发到服务器B。

图片

4.以上规则都是范例,并不能真实实现snat和dnat,仅仅是方便了解对应的原理。后面的案例部分会对他进行演示。

运维小路

一个不会开发的运维!一个要学开发的运维!一个学不会开发的运维!欢迎大家骚扰的运维!

关注微信公众号《运维小路》获取更多内容。

dessler
关注
专栏目录
linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
迪普防火墙-NAT回流
qq_66683859的博客
12-07 798
防火墙与核心交换机三层部署,内网用户A和B主机上网借用出接口地址上网,通过目的NAT将内网主机A的80端口映射为公网地址的8080。
linux防火墙NAT原理及实操
lcy913的博客
12-02 1086
自定义链类似于函数,将类型相同的规则放入一个自定义链中,然后再调用整个规则iptables -N 链名iptables -E 旧链名 新链名删除自定义链需要先使用iptables -F清空规则,再使用iptables -X +自定义链名删除。
linux 防火墙nat
darren‘s blog
11-01 3833
NAT,作用是对网络地址进行转换,主要有两个功能:1. DNAT 网络目的地址转换; 2. SNAT 网络源地址转换。 这里有两个应用场景便于理解NAT的两个功能: 1.公司里有几台服务器需要对外提供服务,但公司只有一个外网ip地址,怎么让几台服务器共用一个ip地址? 2.家庭里很手机、电脑等设备,一般会通过wifi连到路由器上,然后上外网,仔细推敲下手机电脑获取的是路由器分配的
Linux---防火墙
zhoutong2323的博客
06-10 925
这儿主要介绍Linux系统本身提供的软件防火墙的功能,即数据包过滤机制。数据包过滤,也就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决定该连接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址,TCP、UDP、ICMP等数据包的信息都可以进行过滤分析,因此用途非常广泛。
Linux防火墙----firewalld
我的博客
05-22 882
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
linux防火墙篇--Firewalld防火墙基础
aran2002的博客
05-23 3535
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
2024年运维最全(二)Linux 防火墙----网络防火墙,NET,firewalld(1),2024年最新我把所有Linux运维第三方库整理成了PDF
m0_55030688的博客
05-04 977
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux 清空nat,linux 命令iptables -t nat
weixin_33748493的博客
05-14 2799
iptables -t nat -vnL是什么命令?用详细方式列出 nat 所有链的所有规则,只显示 IP 地址和端口号iptables -L粗略列出 filter 所有链及所有规则iptables -t nat -vxnL PREROUTING用详细方式列出 nat PREROUTING 链的所有规则以及详细数字,不反解iptables -t nat -F PREROUTING-F: F...
Linux防火墙 -- iptables
m0_71913083的博客
01-10 1030
一、iptables由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包二、firewalld从CentOS 7版开始引入了新的前端管理工具软件包:firewalld、firewalld-config管理工具:firewall-cmd (命令行工具)、firewall-config (图形工作)nftables。
Linux防火墙NAT.pdf
11-04
Linux防火墙NAT.pdf
Linux防火墙--IPtables配置策略思路
「 虚幻私塾」
01-12 472
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475阅读目录 一、防火墙简介 二、IPtables介绍 三、iptables包过滤流程 iptables工作流程 四、iptables的45链作用关系及工作原理 1.tables四的作用 2.chains链的作用 五、iptables安装 1.关闭selinux
Linux 防火墙 - 区域管理
二苟
08-17 696
今天的一个问题,通过防火墙的网络配置解决后做一下总结。 问题是这样的,服务器开启了防火墙,并且开通了相关端口的访问,但是在本地telnet时却不通。。。左思右想没有思路,后来在Stack上找到一个解决方法: emmm,没看明白,然后查找用法 firewall-cmd --zone=public --permanent --add-masquerade 解释是这样的:防火墙的masquerade功能进行地址伪装(NAT),私网访问公网或公网访问私网都需要开启此功能来进行地址转换,否则无法正常互访 这样的:开
Linux实践】实验四:Shell实用功能及文件权限
Fulling的博客
09-25 746
实验内容 1、使用命令“cat /etc/named.conf”设置为别名named,然后再取消别名。 2、使用echo命令和输出重定向创建文本文件/root/nn,内容是hello,然后再使用追加重定向输入内容为word。 3、使用管道方式分页显示/etc/passwd的内容。 4、分别用文字设定法和数字设定法,对/root/ab文件设置权限,所有者为读取、写入和执行权限,同组用户为读取和写入权限,其他用户没有任何权限。 5、将文件/root/ab所有者更改为用户zhangsan。 6、将目录/root/
Linux 安装redis主从模式+哨兵模式3台节点
最新发布
一千个读者就有一千个哈姆雷特
09-27 336
Linux 安装redis主从模式+哨兵模式3台节点
linux】gcc makefile
Quietcoder的博客
09-24 1103
在静态链接中,链接器(如GNU的。
linux 源代码编译
Lxn2zh的博客
09-27 1239
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
[Linux]:线程(一)
Bettysweetyaaa的博客
09-26 729
想深入了解线程吗?本文将为你详细解读线程的概念、优缺点、异常及用途,还介绍了 Linux 中线程的控制方法。快来阅读,提升你的编程技能,探索多线程的奥秘!
Linux 网络安全守护:构建安全防线的最佳实践
weixin_62641226的博客
09-23 1024
通过定期更新系统、强化用户权限管理、配置防火墙、使用SSH安全连接、定期备份数据、监控系统日志以及安装安全工具,用户可以有效提升Linux系统的安全性,构建坚固的网络安全防线。Linux系统通常内置了防火墙工具,如`iptables`和`firewalld`。用户应根据实际需求,设置合适的规则,限制不必要的端口和服务。可以使用`rsync`、`tar`等工具进行备份,确保在发生安全事件时能够快速恢复。此外,定期审查用户账户和权限,及时删除不再使用的账户,确保只有必要的用户能够访问系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值