iptables实现内网服务发布和访问外网

已于 2022-10-08 22:17:41 修改
阅读量1.6k 收藏 12
点赞数
分类专栏: 运维工具 Linux操作系统 文章标签: 网络 运维
于 2022-10-08 22:17:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46673598/article/details/127216878
版权

目录

一、介绍

二、准备工作

三、实现:在防火墙上配置iptables规则

四、测试:

一、介绍

基于snat和dnat技术,利用iptables编写规则,实现对内网服务(ssh)发布,以及内网能够访问外网

SNAT
开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE


DNAT

发布内网服务,让外网能访问到,就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B,因为路由是按照目的地址来选择的。因此,DNAT是在PREROUTING链上来进行的,而SNAT是在数据包发送出去的时候才进行,因此是在POSTROUTING链上进行的

iptables

基于内核netfilter实现的,可以制定一些规则(rules)来对主机收到的数据包进行处理,规则其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

二、准备工作

设计网络拓扑图如下:

 两台Linux虚拟机:一台做防火墙,一台做shh服务器

防火墙配置:

 准备两块网卡ens36和ens33:

[root@router network-scripts]# cat ifcfg-ens33 
BOOTPROTO=none
NAME=ens33
UUID=b6b1e7a7-fe47-4fec-890a-1a939b5bcaaa
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.31.133
GATEWAY=192.168.31.1
NETMASK=255.255.255.0
DNS1=114.114.114.114
[root@router network-scripts]# cat ifcfg-ens36 
BOOTPROTO="none"
NAME="ens36"
DEVICE="ens36"
ONBOOT="yes"
IPADDR=192.168.204.101
PREFIX=24
[root@router network-scripts]#

ssh服务器配置:

 一块ens33网卡:

[root@ssh network-scripts]# cat ifcfg-ens33 
BOOTPROTO=none
NAME=ens33
UUID=b6b1e7a7-fe47-4fec-890a-1a939b5bcaaa
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.204.100
GATEWAY=192.168.204.101
NETMASK=255.255.255.0
DNS1=114.114.114.114

三、实现:在防火墙上配置iptables规则

[root@router ~]# cat iptables.sh 
#!/bin/bash
iptables -F
iptables -t nat -F

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

iptables -t nat -A POSTROUTING -s 192.168.204.0/24 -o ens33 -j SNAT --to-source 192.168.31.133

iptables -t nat -A PREROUTING -i ens33 -d 192.168.31.133 -p tcp --dport 2233 -j DNAT --to-destination 192.168.204.100:22

四、测试:

1、ssh服务器访问路由器:成功

 2、用户访问内网ssh服务:成功

嗨咯沃得
关注
专栏目录
内网环境通过iptables实现数据包转发连接互联网
qq_46077639的博客
05-11 1187
转自:https://www.jianshu.com/p/cca6e1a3e30b。转自:https://www.jianshu.com/p/cca6e1a3e30b。同样开启路由转发sysctl -w net.ipv4.ip_forward=1.同样开启路由转发sysctl -w net.ipv4.ip_forward=1.开启路由转发: sysctl -w net.ipv4.ip_forward=1。开启路由转发: sysctl -w net.ipv4.ip_forward=1。
linux外网服务器跳转内网服务实现内网访问iptables
热门推荐
gyy823的专栏
04-20 1万+
服务器信息如下 外网服务器:eth0:公网IP                         eth1:内网IP(192.168.10.205) 公网对外提供服务内网IP与内部局域网通信。 配置过程: (1)开启iptables           service iptables restart   (临时开启)           chkconfig  iptables on
iptables学习笔记:端口转发之“内网访问外网
李迟的专栏
09-25 8927
我们一般使用路由上网,本机IP是内网私有IP,如192.168.1.100/24,而不是公网IP。至于能上网,是因为路由器已经做了转发。本文以实例介绍地址转换,实现内网设备与外部网络通信。有了前文的介绍,就无须介绍太多原理方面的东西了。 先给出网络拓扑图如下: 服务器左边为“内网”,右边为“外网”。中间为服务器(工作站或网关,如无特别说明,下文提到的“服务器”都指这个服务器),服务器的et...
iptables实现外网相互访问——SNAT与DNAT的原理与应用
zcien的博客
02-14 1588
SNAT与DNAT的原理与应用
iptables配置Linux开启允许外网访问的端口
zll168123的博客
01-15 1万+
netstat -ntpl iptables -F 清除所有规则链的规则 iptables -X 清除预设表filter中使用者自定链中的规则 iptables -L -n 查看本机关于IPTABLES的设置情况 /etc/init.d/iptables status /etc/rc.d/init.d/iptables save /etc/rc.d/init.d/iptables restart...
iptables实现外网端口映射及转发上网
qq_58733481的博客
03-04 858
某192.168.1.0/24内网网段内只有一台主机A连接到了公网,A的两块网卡分别有一个公网地址(369.258.147.222)和一个内网地址(192.168.1.10),现需要内网的另一台主机B(192.168.1.77)连接互联网下载某些东西,同时将B的某服务端口开放到公网上,两台主机的系统均为CentOS7。在主机B运行redis服务后,扫描369.258.147.222的13679端口,发现已经是开启状态,端口转发成功。OK,现在在主机B ping一个公网网址,发现已经可以ping通了。
linux端口映射到外网访问,Linux使用Iptables做端口映射远程访问无公网IP的SSH
weixin_30091863的博客
04-30 1273
标签:主机1:内网: 192.168.0.101公网:202.102.1.3 //这个是瞎编的,知道是个公网IP就行了主机2:内网:192.168.0.102目标:实现可以用公网的 10022端口访问主机2的ssh服务。#!/bin/bashpro='tcp'NAT_Host='Host_A'NAT_Port=8080Dst_Host='Host_B'Dst_Port=80iptables -t...
linux内网通过网关访问外网
醉世老翁的博客
02-09 1040
需要一个双网卡机器,能访问外网的机器,通过iptables nat转发实现内网访问外网。 双网卡机器: 开启转发 vi /etc/sysctl.conf #编辑配置文件 net.ipv4.ip_forward = 1 #开启转发 sysctl -p #立即生效 查看是否成功 添加iptables规则: iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/24 -j SNAT --to x.x.x.x #公网ip 通过n
iptables发布内网的web、ftp、dns、mysql服务
qq_42778369的博客
07-20 650
文章目录实验描述一、本实验的网络拓扑图二、实验步骤1、准备好3台纯净的linux虚拟机,配置好ip地址。本实验为centos7环境2、在linux防火墙服务器这台虚拟机上开启路由,配置SNAT3、先搭建好内部的web和mysql、ftp、dns服务器4、在linux防火墙服务器上配置DNAT策略,发布内网服务器5、测试验证总结 实验描述 将内网服务器(web、ftp、dns、mysql)发布内网,让外网的用户可以访问内网服务器资源,模拟真实企业里的场景,更加深刻的理解防火墙和内网服务器、客户之.
Linux网络防火墙 局域网怎么实现外网隔离 查看网络 iptables 路由跟踪
万有文的博客
05-20 1175
在Linux系统中,使用iptables来配置网络防火墙并实现外网隔离是一个常见的做法。iptables是Linux内核集成的IP信息包过滤系统,它允许用户定义基于包过滤的防火墙规则。以下是如何使用iptables实现外网隔离,并查看网络状态和路由跟踪的步骤。拒绝所有进入的流量你可以首先拒绝所有进入的流量,然后逐步开放需要的端口。bash允许内部网络流量然后,你可以允许内部网络的流量通过。允许外部网络到特定服务的流量(例如SSH)保存iptables规则。
利用iptables实现局域网内多台机器共享上网
最新发布
08-09 558
服务器A为内网机器,服务器B和A在同一局域网环境服务器B可以访问外部网络,现在希望服务器A可以通过服务器B访问外部网络
华为云内网服务器通过公网服务访问外网
weixin_45012003的博客
10-03 5231
虽然真的太简单,但我还是踩坑了。尴尬,所以写了这个文档记录一下。 场景:一台没有外网的node服务器,通过另一台有外网的master服务器,来访问外网。(这里使用的是华为云) node 192.168.0.99 master 192.168.0.102 华为云与阿里云不同的是,华为云网卡有一个“源/目的检查”(默认开启,在master这里需要关了),阿里云的话,这一步忽略。 ##测试是否可以跟外网通信。 先在master执行ping www.baidu.com 接下来的操作,都在
iptables防火墙主机访问外网
weixin_45594127的博客
01-30 442
示例 现在假设一台主机有如下规则: iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT 分析 现在,其他主机ssh登陆到这台防火墙主机是没有问题到,问题是这台机器可以访问其他到网络吗?答案是不行。因为当防火墙主机发起对外链接的时候,会选择任意一个端口,这时候tcp数据包返回的时候会发送到这个端口,而这个数据包会被...
iptables实现内网机器上网
weixin_33795093的博客
10-29 137
内网环境:PC-A: 192.168.56.101iptables主机:eth0 : 10.0.86.100 (外网网卡)eth1 ; 192.168.56.100 (内网网卡)net.ipv4.ip_forward 更改为 1 方法1(重启失效):sysctl -w net.ipv4.ip_forward=1 方法2:修改/etc/sysctl.conf文件中的对应项...
iptables配置NAT访问外网
追光者的博客
05-06 1234
iptables,NAT
iptables 进行内外网转发
weixin_33951761的博客
02-01 203
这几天在海关做项目,需要内外网两个环境内网IP访问需要外网进行转发内网:172.16.102.8外网:10.99.115.211 #echo 1 > /proc/sys/net/ipv4/ip_forward #iptables -t nat -A PREROUTING -p tcp -i eth0 -d 10.99.115.211 --dport 1521 -j DNAT --to 17...
iptables外网访问内网服务
aaaabbbccda的博客
03-25 787
iptables可以对流量进行管控。所以也可以当做一个路由器来使用。 #!/bin/bash ###应用环境外网访问内网服务器,外网访问NAT服务器,nat服务器通过iptables转发请求包 ####通过PREROUTING链将目标地址转为服务器地址,通过POSTROUTING将源地址转为内网地址, ####使其可以在内网中进行流通。 net1="ens33" #内网网卡 net2="ens37" #外网网卡 addr1="10.9.27.199" #外网地址 addr2="192.168.98.12
iptables配置
Qvip的专栏
04-06 1447
iptables官方网站:http://netfilter.org/ 数据包经过防火墙的路径 http://www.linux.gov.cn/netweb/iptables.htm禁止端口的实例禁止ssh端口只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh#iptables -A INPUT -s 192.168.62.
iptables 实现centos内网机器访问外网
漫长技术之路始于此
04-26 3525
摘要: 环境:一台带外网内网的机器,另一台只有内网,默认不能上网。两台机器都是centos系统带外网机器的外网ip为123.221.20.11,内网ip为192.168.15.100内网机器的内网ip为192.168.15.101设置方法很简单:1.在带外网的机器上设置iptables规则:iptables-tnat-APOSTROUTING-s192.168.15.101-jSNAT–to123
设置Linux服务器只能访问内网,无法访问外网
05-25
可以通过 iptables 防火墙设置来实现这个目标。具体步骤如下: ...这样就可以限制 Linux 服务器只能访问内网,无法访问外网了。但是请确保你在设置之前已经测试过这些规则,以免出现不必要的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值