iptables数据转发/镜像

最新推荐文章于 2024-05-07 07:13:27 发布
最新推荐文章于 2024-05-07 07:13:27 发布
阅读量2.8k 收藏 8
点赞数
分类专栏: Linux 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/for_dream1205/article/details/109054521
版权
本文介绍如何利用iptables实现网口数据的转发与镜像,包括通过NAT进行转发及使用TEE进行数据镜像的方法,并提供了具体命令实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于工作需求,要求将网口数据镜像到其他网口,通过查阅资料发现iptables可以实现。

关于iptables的实现原理可参考https://www.cnblogs.com/zllong/p/7236881.html

命令详解:https://www.cnblogs.com/zhaogaojian/p/8186220.html

想要达到一个网口数据转发到另一个网口上,有两种实现方式:

1.通过使用 NAT进行转发

Linux系统默认多网卡之间的数据包转发功能是关闭的。开启方法如下:
数据包转发功能默认配置
cat /proc/sys/net/ipv4/ip_forward
0
设置为1的时候转发
开机自动数据包转发
把下面代码添加到开机启动项/etc/rc.d/rc.local
echo “1″ >/proc/sys/net/ipv4/ip_forward
或者修改/etc/sysctl.conf
net.ipv4.ip_forward = 1

例:

iptables -t nat -A PREROUTING -p udp --dport 12345 -i enp8s0 -j DNAT --to 192.168.0.4:12345

这种方式可以直接修改目的ip和端口号,但是会占用cpu资源。

2.通过使用TEE进行数据镜像

  • 把某个源IP的包镜像发到指定的IP
iptables -t mangle -A PREROUTING -s 192.168.3.224 -j TEE --gateway 192.168.3.100
  •  把某个目的IP的包镜像到指定的IP
iptables -t mangle -A POSTROUTING -d 192.168.3.224 -j TEE --gateway 192.168.3.100
  •  也可以把整个网段的都镜像
iptables -t mangle -A PREROUTING -s 192.168.3.0/24 -j TEE --gateway 192.168.3.100
 iptables -t mangle -A POSTROUTING -d 192.168.3.0/24 -j TEE --gateway 192.168.3.100

该方式不对数据包做任何修改,只是做了数据镜像,不占用cpu资源

其他常用指令:

查看iptables 规则

iptables -L --line-number -t nat

删除规则

iptables -D PREROUTING 1 -t nat

 

目前测试发现iptables 1.6.0在ubuntu16.04中使用正常,可满足要求,但还是在xavier上异常,无法使用tee

xavier iptables版本1.6.1,系统版本 aarch64。

 

docker4--docker基础/namespace/cgroup/Dockerfile/docker数据持久化/harbor镜像/
weixin_44515412的博客
09-27 657
day4作业: 1、docker的namespace总结 2、docker的cgroup总结和验证 3、基于Dockerfile构建nginx镜像、tomcat镜像以及应用镜像 4、练习docker 数据的持久化 ( -v) 5、实现基于反向代理(LVS或HAProxy)的harbor镜像仓库高可用 一、namespace 二、cgroup 三、Dockerfile 四、docker数据持久化 五、harbor镜像 ...
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 3135
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
iptables 将网卡流量镜像到另一个主机
aomeng的专栏
07-05 2621
一种简单的从网卡流量镜像的方法,需要安装其他软件,借用 iptablestee 功能将网卡流量到另一个主机
使用IPtables 实现数据转发
haijiaoqihao20160106的博客
04-25 1540
某公司需要连接业务平台,但是又不能直接连接,需要一台机器A作为数据跳转。 具体需求: B机器访问A机器的80端口需要跳转到C机器的80 解决方法: 使用iptables 的DNAT,SNAT实现。 A机器iptables设置: iptables -t nat -A PREROUTING  -s B机器地址 -p tcp -m tcp --dport 80 -j DNAT
iptables做端口镜像(复制报文)
热门推荐
wesleyflagon的专栏
08-15 1万+
有一种做端口镜像的技术,将网卡上所有报文复制到另一个网卡上。
Linux如何实现镜像端口
互联网
12-22 2215
在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器。然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3.x(x是几,忘了)以上的内核,这些内核已经支持了镜像,但不够好。起码2.6.35的内核是不能支持的,那么Linux实现的软交换机属于哪个档次呢?关键是,很多高端的网络产品也是基于Linux实现的,没有...
linux下端口镜像,linux – 使用iptables过滤镜像端口流量
weixin_28957321的博客
04-30 699
我从镜像端口接收流量,我想将其发送到NFQUEUE进行处理.由于镜像端口,数据包目标MAC地址不是我的主机MAC地址.因此,流量永远不会达到我的NFQUEUE. (如果我拿一个数据包并使用Scapy手动用我的主机MAC地址替换目标MAC地址,它可以工作)即使在过滤管道中尽快应用iptable规则,它也不能与镜像端口一起使用:iptables -A PREROUTING -t raw -j NFQU...
LVM镜像iptables双向认证:如何确保数据的可靠性和安全性
LVM镜像是在LVM构架下创建的虚拟分区,通常用来扩展现有的逻辑卷或备份数据,方便管理和操作。 在实际应用中,LVM镜像经常被用于服务器虚拟化、数据库备份、系统快照等方面,能够提升数据管理的灵活性和可靠性。 ##...
『运维备忘录』之 iptables 防火墙使用指南
2401_83620690的博客
04-28 1227
--sport num | 匹配来源端口号 |
Docker深入探索:网络与资源控制、数据管理与容器互联以及镜像生成
hy199707的博客
04-26 1209
在当今快速发展的云计算时代,Docker作为容器化技术的领航者,凭借其轻量级、可移植的特性,已经成为软件开发与部署的重要工具
iptables 跨网段转发
Bpazy的博客
03-21 3189
网络结构如下 需求 PC 只能访问到 Linux,需要 Linux 转发数据包,使得 PC 可以访问到路由器。 使用 iptables 转发 iptables -t nat -I PREROUTING -p tcp --dport 10000 -j DNAT --to-destination 192.168.0.1:80 iptables -t nat -I POSTROUTING -p tcp...
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之五——iptables实现镜像(克隆)
年龄是最好的编译器,把浮躁编译成沉稳,把焦虑链接成从容。
12-20 1123
使用iptablestee选项,即可实现把某台主机上的流量镜像到同一个网段或路由可达的其它机器做分析。
iptables TEE使用技巧
sxd2001的博客
12-06 2183
iptables TEE使用技巧以及--gateway ipaddr参数作用
iptables TEE模块测试小记
qq_38189542的博客
01-11 888
因为公司项目需求,需要对服务器特定端口进行流量镜像,各种百度之后,发现TEE的模块,后来一番折腾,发现被转发的机器死活收不到数据,最后tcpdump一通了解到根源,博文记录,用以备忘。
iptables 基础知识与命令速查
最新发布
2402_83140078的博客
05-07 1446
当一条链中的规则数量非常多时,有针对 httpd ,也有针对 sshd 的,这样我们维护 iptables 规则就非常痛苦。而自定义链,就是用 iptables 链的方式,来实现 “规则” 分组的功能。使用如下命令来新建自定义链而此时还没有其他链引用 IN_WEB ,因此会显示引用自定义链,就是把该链当成和 ACCEPT、REJECT 一样的动作就行。意思是:匹配上的报文全部发往这些链中。若想把 IN_WEB 的链名改成 WEB ,可以使用-E参数若想删除自定义链,可以使用-X命令。
iptables -t mangle -A PREROUTING -j MARK --set-mark 1提示iptables: No chain/target/match by that name
tanlingyun的专栏
12-01 8026
<br />不知为何,即使Core Netfilter Configuration和IP: Netfilter Configuration全部采用built-in还是提示这个错误,后来改成module的方式依然不行,最后找到原因是因为它不会自动加载所需要的模块,手动加载即可,modprobe xt_MARK<br />[root@mpc8315erdb /root]# iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -j <br />MARK --set
iptables 指令详解
刘松华-林散
05-15 2799
iptables 指令 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。 个规则表的功能如下: nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
ubuntu14.04 xt_TEE and iptables
mounter625的专栏
02-04 2968
1. a host +-----------------------------------------+ |eth0                          eth1       | |128.224.162.180               up         | +-----------------------------------------+ 2. mod
iptables 使用介绍
逢歌的博客
02-01 2493
iptables 使用介绍 一、iptables简介 iptables是集成在linux内核中的包过滤防火墙系统, 是linux防火墙系统的重要组成部分。 二、iptables原理 先来看下主机如何处理数据包:当主机收到一个数据包后, 数据包会先在内核空间进行处理, 若发现目的地址是自身, 则传到用户空间交给相应的应用程序处理, 若目的地址不是自身, 则会将包丢弃或转发。 而iptables的主要功能就是在内核处理数据包的几个关键位置添加对数据包的处理“规则”,即对数据包进出设备及转发的控制。 数据包在内核
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值