iptables实现内网服务发布和访问外网

已于 2022-10-08 22:17:41 修改
阅读量1.6k 收藏 12
点赞数
分类专栏: 运维工具 Linux操作系统 文章标签: 网络 运维
于 2022-10-08 22:17:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46673598/article/details/127216878
版权

目录

一、介绍

二、准备工作

三、实现:在防火墙上配置iptables规则

四、测试:

一、介绍

基于snat和dnat技术,利用iptables编写规则,实现对内网服务(ssh)发布,以及内网能够访问外网

SNAT
开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE


DNAT

发布内网服务,让外网能访问到,就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B,因为路由是按照目的地址来选择的。因此,DNAT是在PREROUTING链上来进行的,而SNAT是在数据包发送出去的时候才进行,因此是在POSTROUTING链上进行的

iptables

基于内核netfilter实现的,可以制定一些规则(rules)来对主机收到的数据包进行处理,规则其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

二、准备工作

设计网络拓扑图如下:

 两台Linux虚拟机:一台做防火墙,一台做shh服务器

防火墙配置:

 准备两块网卡ens36和ens33:

[root@router network-scripts]# cat ifcfg-ens33 
BOOTPROTO=none
NAME=ens33
UUID=b6b1e7a7-fe47-4fec-890a-1a939b5bcaaa
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.31.133
GATEWAY=192.168.31.1
NETMASK=255.255.255.0
DNS1=114.114.114.114
[root@router network-scripts]# cat ifcfg-ens36 
BOOTPROTO="none"
NAME="ens36"
DEVICE="ens36"
ONBOOT="yes"
IPADDR=192.168.204.101
PREFIX=24
[root@router network-scripts]#

ssh服务器配置:

 一块ens33网卡:

[root@ssh network-scripts]# cat ifcfg-ens33 
BOOTPROTO=none
NAME=ens33
UUID=b6b1e7a7-fe47-4fec-890a-1a939b5bcaaa
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.204.100
GATEWAY=192.168.204.101
NETMASK=255.255.255.0
DNS1=114.114.114.114

三、实现:在防火墙上配置iptables规则

[root@router ~]# cat iptables.sh 
#!/bin/bash
iptables -F
iptables -t nat -F

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

iptables -t nat -A POSTROUTING -s 192.168.204.0/24 -o ens33 -j SNAT --to-source 192.168.31.133

iptables -t nat -A PREROUTING -i ens33 -d 192.168.31.133 -p tcp --dport 2233 -j DNAT --to-destination 192.168.204.100:22

四、测试:

1、ssh服务器访问路由器:成功

 2、用户访问内网ssh服务:成功

嗨咯沃得
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网环境通过iptables实现数据包转发连接互联网
qq_46077639的博客
05-11 1119
转自:https://www.jianshu.com/p/cca6e1a3e30b。转自:https://www.jianshu.com/p/cca6e1a3e30b。同样开启路由转发sysctl -w net.ipv4.ip_forward=1.同样开启路由转发sysctl -w net.ipv4.ip_forward=1.开启路由转发: sysctl -w net.ipv4.ip_forward=1。开启路由转发: sysctl -w net.ipv4.ip_forward=1。
iptables学习笔记:端口转发之“内网访问外网
李迟的专栏
09-25 8828
我们一般使用路由上网,本机IP是内网私有IP,如192.168.1.100/24,而不是公网IP。至于能上网,是因为路由器已经做了转发。本文以实例介绍地址转换,实现内网设备与外部网络通信。有了前文的介绍,就无须介绍太多原理方面的东西了。 先给出网络拓扑图如下: 服务器左边为“内网”,右边为“外网”。中间为服务器(工作站或网关,如无特别说明,下文提到的“服务器”都指这个服务器),服务器的et...
iptables实现外网相互访问——SNAT与DNAT的原理与应用
zcien的博客
02-14 1399
SNAT与DNAT的原理与应用
iptables配置Linux开启允许外网访问的端口
热门推荐
zll168123的博客
01-15 1万+
netstat -ntpl iptables -F 清除所有规则链的规则 iptables -X 清除预设表filter中使用者自定链中的规则 iptables -L -n 查看本机关于IPTABLES的设置情况 /etc/init.d/iptables status /etc/rc.d/init.d/iptables save /etc/rc.d/init.d/iptables restart...
iptables配置NAT访问外网
追光者的博客
05-06 1163
iptables,NAT
第十九章:iptables高级应用1
08-08
编写DNAT规则,指定外网接口、公网IP、发布的端口,以及内网服务器的IP。 - c.外部客户端可以通过网关的公网IP和指定端口访问内部服务器。 **三、SNAT和DNAT实战案例** 在实际操作中,可能需要同时使用SNAT和DNAT...
ubuntu双网卡设置内外网上网问题,实现路由转发
11-12
注意:这里的`gateway` 配置只针对`eth1`,因为数据包需要通过eth1转发外网。 ##### 3. 重启网络服务 配置完成后,需要重启网络服务使更改生效: ```bash sudo /etc/init.d/networking restart ``` ##### 4. ...
Linux 或 Windows 上实现端口映射.docx
11-09
然后,我们在 Server4 上配置了端口映射,使得外网的 Client 可以访问内网 Server1 的资源。 端口映射是服务环境中的一种重要技术,可以帮助服务器在不同的网络环境中进行通信。通过配置端口映射,服务器可以承担...
Centos初学之二—搭建企业内网DNS服务器.doc
10-04
因此,在企业内部搭建一台 DNS 服务器,使其既能解析内部的私网地址,又能解析外网的公网地址。 DNS 服务器的工作原理是,将域名解析成 IP 地址,以便计算机能够找到对应的服务器。 DNS 服务器在网络中扮演着非常...
Centos7初学之二—搭建企业内网DNS服务器.doc
10-04
在客户端(如Windows)上,将DNS服务器设置为CentOS 7服务器的IP(例如192.168.0.13),测试能否正常访问外网。如果可以,说明DNS服务已经可以解析外网地址。 接下来,需要创建区域文件和定义DNS数据。查看BIND相关...
iptables防火墙主机访问外网
weixin_45594127的博客
01-30 418
示例 现在假设一台主机有如下规则: iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT 分析 现在,其他主机ssh登陆到这台防火墙主机是没有问题到,问题是这台机器可以访问其他到网络吗?答案是不行。因为当防火墙主机发起对外链接的时候,会选择任意一个端口,这时候tcp数据包返回的时候会发送到这个端口,而这个数据包会被...
iptables实现外网端口映射及转发上网
最新发布
qq_58733481的博客
03-04 757
某192.168.1.0/24内网网段内只有一台主机A连接到了公网,A的两块网卡分别有一个公网地址(369.258.147.222)和一个内网地址(192.168.1.10),现需要内网的另一台主机B(192.168.1.77)连接互联网下载某些东西,同时将B的某服务端口开放到公网上,两台主机的系统均为CentOS7。在主机B运行redis服务后,扫描369.258.147.222的13679端口,发现已经是开启状态,端口转发成功。OK,现在在主机B ping一个公网网址,发现已经可以ping通了。
iptables配置
Qvip的专栏
04-06 1392
iptables官方网站:http://netfilter.org/ 数据包经过防火墙的路径 http://www.linux.gov.cn/netweb/iptables.htm禁止端口的实例禁止ssh端口只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh#iptables -A INPUT -s 192.168.62.
iptables 实现centos内网机器访问外网
漫长技术之路始于此
04-26 3492
摘要: 环境:一台带外网内网的机器,另一台只有内网,默认不能上网。两台机器都是centos系统带外网机器的外网ip为123.221.20.11,内网ip为192.168.15.100内网机器的内网ip为192.168.15.101设置方法很简单:1.在带外网的机器上设置iptables规则:iptables-tnat-APOSTROUTING-s192.168.15.101-jSNAT–to123
iptables 实战】05 iptables设置网络转发实验
程序员笔记
10-02 1491
同样的,机器C(10.1.0.10)想连机器A(192.168.56.104)也得设置一下路由。通过手动添加路由规则,将A与机器C(10.1.0.10)的报文,都通过网关B进行处理。机器B 两张网卡,分别的ip是192.168.56.106和10.1.0.11。机器A(192.168.56.104)ping 机器C(10.1.0.10)机器C(10.1.0.10)ping机器A(192.168.56.104)实验效果,通过机器B的转发功能,将机器A的报文转发到机器C。现在,A和C机器,就可以互通了。
通过iptable使内网的机器能访问外网
weixin_33898876的博客
04-26 788
环境:Centos 6.8-1VMware模拟方法,将一张网卡设置为VMnet1,一张设置为桥接 (桥接设备)eth0:IP地址:192.168.199.55子网掩码:255.255.255.0网关:192.168.199.1(VMnet1)eth1:IP地址:192.168.43.129子网掩码:255.255.255...
linux服务器开启公网访问_Linux 通过iptables实现内网服务访问外网
weixin_39524574的博客
12-19 905
环境:A服务外网ip:123.123.123.123 内网ip:192.168.10.10B服务内网ip:192.168.10.11配置1.在A服务器上打开转发sysctl -a |grep 'net.ipv4.ip_forward' 查看转发是否开启 1为开启设置转发:echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.confsysc...
Linux 利用 IP转发使内网连接到公网
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-06 4559
项目背景描述 实现方法 我们知道,Linux本身自带iptables包过滤,但是其还有一重要功能,即实现数据的转发,本文就利用Linux 自带 iptables 实现从一个网络接口到另一个接口的IP转发数据包转发)。IP转发的概念是,使 Linux 机器像路由器一样将数据从一个网络发送到另一个网络。所以,它能作为一个路由器或者代理服务器,实现将一个连接互联网或者网络连接共享给多个客户端机器。 ......
端口转发_用iptables 实现(神卓互联内网穿透技术系列)
u010905359的博客
04-26 1274
设定本机2121端口转发到21端口 Bash iptables -t nat -A PREROUTING -p tcp -i eth0 -d 10.136.57.57 --dport 2121 -j DNAT --to 10.136.57.57:21 iptables -t nat -I POSTROUTING -d 10.136.57.57 -p tcp --dport 2121 -...
设置Linux服务器只能访问内网,无法访问外网
05-25
可以通过 iptables 防火墙设置来实现这个目标。具体步骤如下: 1. 禁止服务访问外网: ``` sudo iptables -A OUTPUT -j DROP ``` 2. 允许服务访问本地的回环接口: ``` sudo iptables -A OUTPUT -o lo -j ACCEPT ``` 3. 允许服务访问内网IP段: ``` sudo iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT ``` 4. 允许服务访问需要的外部服务,比如 DNS、NTP 等: ``` sudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 123 -j ACCEPT ``` 5. 最后保存 iptables 规则: ``` sudo iptables-save > /etc/iptables.rules ``` 这样就可以限制 Linux 服务器只能访问内网,无法访问外网了。但是请确保你在设置之前已经测试过这些规则,以免出现不必要的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值