Linux:iptables防火墙部署优化之连接转移(目的地地址转化)

于 2024-05-21 13:27:17 发布
阅读量432 收藏 1
点赞数 6
分类专栏: RHCE的学习 文章标签: linux 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fox_kang/article/details/139090156
版权

Linux:iptables防火墙部署优化之连接转移(目的地地址转化)

文章目录

node1操作

检测ip情况

#查看网卡的ip信息
[root@node1 ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:33:49:40 brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    altname ens160
    inet 172.25.254.200/24 brd 172.25.254.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::fa94:b632:5bd6:a146/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:33:49:4a brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    altname ens224
    inet 192.168.0.100/24 brd 192.168.0.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::518f:2870:1a4c:178f/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

关闭firewalld防火墙服务,并锁定该服务

[root@node1 ~]# systemctl disable --now firewalld.service
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".

# 锁定firewalld服务
[root@node1 ~]# systemctl mask firewalld.service
Created symlink /etc/systemd/system/firewalld.service → /dev/null.

开启iptables服务

[root@node1 ~]# systemctl enable --now iptables.service
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /usr/lib/systemd/system/iptables.service.

清空iptables的默认策略

[root@node1 ~]# iptables -F
[root@node1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

开启内核路由转发功能

# 发现内核路由转发功能未开启
[root@node1 ~]# sysctl -a | grep ip_forward
net.ipv4.ip_forward = 0
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0

# 修改配置文件,开启内核路由转发功能
[root@node1 ~]# vim /etc/sysctl.conf
[root@node1 ~]# sysctl -p
net.ipv4.ip_forward = 1

[root@node1 ~]# sysctl -a | grep ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0

配置iptables的策略,实现连接转移(目的地地址转换)

[root@server100 ~]# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 192.168.0.200

[root@server100 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  anywhere             anywhere             to:192.168.0.200

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

node2测试,是否可以登录转移

ssh root@172.25.254.100
Warning: Permanently added '172.25.254.100' (ED25519) to the list of known hosts.
root@172.25.254.100's password:
Activate the web console with: systemctl enable --now cockpit.socket

Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
Last login: Thu May 16 20:09:18 2024 from 192.168.0.1
[root@node2 ~]#
[root@node2 ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:8c:36:ce brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    altname ens160
    inet 192.168.0.200/24 brd 192.168.0.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::261:1a18:738d:cacb/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

这里原来是登录到node1主机,但是却登录到了node2主机

fox_kang
关注
专栏目录
C++ Qt 项目设计:跨平台网络防火墙工具的设计与实现
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
09-28 386
随着互联网的快速发展,网络安全问题日益凸显。企业和个人都面临着各种网络攻击和数据泄露的风险。因此,有必要开发一个高效、可靠的网络防火墙工具,以提供全面的网络安全保障。 本项目的主要目标是设计和实现一个跨平台的网络防火墙工具,用于监控网络流量、阻止非法访问,以及加密数据传输。该工具将使用C++进行开发,以确保高性能和低系统开销。
Linux配置FTP服务
The current road is different, love needs to distinguish between right and wrong
11-24 5655
简介 一般来讲,人们将计算机联网的首要目的就是获取资料,而文件传输是一种非常重要的获取资料的方式。今天的互联网是由几千万台个人计算机、工作站、服务器、小型机、大型机、巨型机等具有不同型号、不同架构的物理设备共同组成的,而且即便是个人计算机,也可能会装有Windows、Linux、UNIX、Mac等不同的操作系统。为了能够在如此复杂多样的设备之间解决问题解决文件传输问题,文件传输协议(FTP)应运而生。 FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口2
利用iptables地址转发
weixin_34290000的博客
05-23 656
1、实现目的有三台服务器,分别为node1,node2(nat),node3,其中node2做nat转换。在node1不能与node3直接通信的情况下,通过node2 nat地址转换,实现node1能与node3通信。node1:192.168.0.73node2:192.168.0.74 【nat机器】node3:192.168.0.1892、环境配置node1不能与n...
iptables 实现地址转换与安全控制
weixin_33973609的博客
11-04 207
    目标:模拟生产环境的基本拓扑,实现通过源地址转换内网多台主机公共一个IP地址访问互联网,并通过目标地址转换,把www等多个服务器放到互联中,并实现安全控制,基本拓扑结构如下: 在这个拓扑结构中来说,就是局域网中的机器都可以访问互联网中的Web1,局域网中的机器也可以访问Web2与内部FTP(电脑配置有限以www为例),外部的Web1看做客户端也可以访问Web2,并实现对访问进行一些控...
centos7下利用iptables改变请求的目标地址和端口
weixin_34221775的博客
12-24 1737
场景说明:一个业务系统需要访问内网的图片服务器(10.10.10.11),由于对公网访问未使用域名,若使用域名可以灵活使用hosts来解决这个问题,但是这样情况下数据库配置访问内网的图片服务器就改成了公网的地址,由于相关网络策略的限制WEB(10.10.10.10)访问公网IP加端口的URL不通(curl提示connection timeout),但在URL中改成内网的IP则可以正常访问,为了使...
iptables转发技术
abg49988的博客
11-24 249
NAT 一. 什么是 NAT NAT(Network Address Translation)译为网络地址转换。通常路由器在转发我们的数据包时,仅仅会将源MAC地址换成自己的MAC地址,但是NAT技术可以修改数据包的源地址目的地址以及源端口、目的端口等信息。 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口...
iptables高性能前端优化-无压力配置1w+条规则
Netfilter
08-27 3万+
产生本文的故事这显然是个周末,这是一个下雨的周末,这是一个台风登陆的周末…  上周,有一个很猛的台风“天鸽”,当天红警晚发了两个小时,当发布红警时,几乎所有人都到了公司,当然,除了那些怕西装和皮鞋被雨淋湿的经理。我本来是想特别感谢一下这个台风的,然而它已经造成了重大的人员伤亡,无论如何,我都不能再对它多说一句褒义的话,我是一个喜欢风雨的人,仅诠释我个人。  在台风“天鸽”将至的那晚,我把一个在暴热和
【Arch Linux:服务管理与系统监控】
Arch Linux 是一个独立于其他Linux发行版的轻量级系统,以其滚翻式更新、包管理系统的高效以及简洁的系统配置而闻名。它采用滚动更新模式,这意味着用户总是在使用最新版本的软件包。Arch Linux 使用 Pacman 作为包...
[ 笔记 ] 计算机网络安全_5_防火墙原理与设计
Formy7的博客
05-28 2860
防火墙原理与设计
Linux服务器被攻击方式及防御措施?
xiaoyiandun的博客
11-22 526
4.接下来把可疑进程杀掉: -------------------小蚁君发现的可疑进程有3个:pphp6,netns,profs 查出的路径在部署的nagios目录里面,所以断定是外来文件。而对PC的网关欺骗则是通过伪造网关,欺骗PC向假的网关发送数据。很多人一般会先切断网络------然后进行数据备份------对系统进行检查,修复,甚至重装系统------部署策略------恢复数据------打开网络连接对外提供服务。
Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 3424
iptables模块的使用 FORWARD转发
linux进阶9】linux中的iptables火墙优化策略
weixin_48819467的博客
06-04 706
linux中的iptables火墙优化策略 实验环境 单网卡 单网卡的网关设定为双网卡的14网段,便于获取数据 双网卡 双网卡中有个和单网卡处于172.25.14段的ip 一、基本命令 -o |指定输出网络设备 二、火墙的切换 firewalld----->iptables dnf install iptables-services.x86_64 --allowerasing systemctl disable firewalld.service systemctl mask firewalld
2024年Linux最全Linux下so动态库查看与运行时搜索路径的设置(1),2024年最新这里有份超全Linux运维体系化进阶学习图谱
ccc6553584的博客
05-03 1009
/ 注:这里-ladd不能在main.cpp之前,否则连接器在链接main.o时找不到libadd.so。// libadd.so 在main.cpp 后,否则报链接错误。
Linuxiptables防火墙部署优化之路由转发(地址伪装)
最新发布
fox_kang的博客
05-20 735
准备工作:​ 1.已知node2的主机名称为node2.timinglee.org其ip为192.168.0.200​ 2.已知node1的主机名为node1.timinglee.org,此主机为双网卡主机其IP为172.25.254.200和192.168.0.100,请在此主机中配置策略可以使node2主机访问外网。
linux中的防火墙管理以及优化iptables
weixin_45205924的博客
08-12 298
linux中的防火墙管理以及优化iptables一、防火墙介绍二、firewalld 与 iptables的切换三、iptables的默认策略四、IPtables的使用方式 一、防火墙介绍 系统的安全管理一般有两种服务:firewalld.service 和 iptables 两种服务是在一个系统中不可以同时启用的 二、firewalld 与 iptables的切换 iptables与firewalld的切换,其实就是在关闭系统默认使用的firewalld服务后,对iptables服务,安装并且启用。 1
iptables规则重启自动生效--永久生效
热门推荐
okhymok的博客
07-10 3万+
方法1: 执行命令:service iptables save 规则自动保存到了/etc/sysconfig/iptables,用此命令保存的规则开机会自动生效。 方法2: 保存规则:#iptables-save >/etc/iptables-script 恢复规则:#iptables-restore>/etc/iptables-script 开机自动恢复规则,把恢复命令添加到启动...
iptables技巧之优化速度
最实用的Linux博客
12-22 3206
 1,用连接状态做匹配:     -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  2,使用ip地址范围进行匹配      -A INPUT -m iprange --src-range 192.168.6.203-192.168.6.226 -d your.external.ip.address -j ACCEPT  3,有多个端口
Linux小白入门:iptables防火墙配置与基础操作
本文档主要介绍了防火墙的功能、局限性、优缺点,以及如何在Linux内核中使用iptables作为核心的防火墙管理工具。以下是详细的知识点总结: 1. **防火墙概述** 防火墙的主要功能包括分割内网与外网,保护特定服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值