iptables的备份和还原
1、写在命令行当中的都是临时设置
2、把规则配置写在服务的文件当中,形成永久有效
备份:把iptables里面所有的配置都保存在/opt/ky30.bak中
iptables-save > /opt/ky30.bak
例:
默认配置文件在/etc/sysconfig/iptables中
把原有的策略覆盖
例:
把备份在/opt/ky30.bak的策略重定向输出到/etc/sysconfig/iptables.config中
一键导入
导入配置也是临时设置,永久生效要写在/etc/sysconfig/iptables中
备份
自定义链(可以自己自定义一个链名,用的比较少都是也会用到)
1、创建自定义链 -N
例:
没有指定表名,默认在filter表中添加一个自定义链
给自定义链改名,把lp改成hp iptables -E 原链名 新链名
例:
为自定义链添加规则:
创建在自定义链中的规则需要添加到默认链当中,才能够使用
删除自定义链:
自定义链的规则被默认链使用,要先在默认链中删除,再把自定义链当中的规则删除,最后才能把自定义链删除
重点:SNAT和DNAT(源地址转换和目标地址转换)
内网到外网转换的是源地址
例:内网地址192.168.233.21要对外网地址12.0.0.10进行访问,内网地址要进行转换,源地址192.168.233.21要转换成10.0.0.10,在用10.0.0.10来对外网进行访问。
此时目标地址12.0.0.10不变,源地址转换为10.0.0.10,所以是源地址转换
外网到内网转换的是目标地址
例:外网12.0.0.10要把数据返回到内网,但是不能直接和内网地址进行通信,目标地址是192.168.233.21,首先要换一个能和内网地址进行通信的地址10.0.0.10。
此时源地址12.0.0.10不变,目标地址转换为10.0.0.10,所以说目标地址转换
同一个网段的内网主机通过网关服务器路由器进行地址转换,转换成可以和公网进行通信的地址
SNAT又称源地址转换
源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址
(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,
即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
就是把内网地址转成指定的IP地址,这个iP地址可以访问公网
DNAT:
私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问
SNAT/DNAT实验:
首先准备三台虚拟机,一台对内,一台对外,网关服务器的虚拟机。
关闭三个虚拟机的安全机制和防火墙
给两个对内和对外的服务器yum -y install httpd服务,做网关服务器的虚拟机的这台添加一个网卡。
关防火墙,关安全机制。
此时网关服务器的虚拟机有两个网卡,一个对内,一个对外,将对外的这台设为仅主机模式
前期准备工作:
test1:192.168.88.10 内网服务器
test2:192.168.88.20 外网服务器
ens33 test1的网关:192.168.88.254
ens36 test2的网关:12.0.0.254
test3:192.168.88.30 web服务器
一个快速多虚拟机操作功能:在查看-撰写-撰写栏
在最低行选‘全部shell”就可以对多台虚拟机进行命令行操作
先在test3进行操作
把ip地址和网关地址改了
安装httpd服务并启动服务
看10和30地址的apache服务是否正常
在test3中重启网络,xshell会断连,要到虚拟机中进行操作
看ip地址是否修改成功
再到test1中
修改网卡配置
把DNS注释掉,把网关地址改为254
重启网络
再到test2,test2作为网关服务器,在test2操作之前要先添加一个网卡
修改配置文件
test2作为网关服务器,ip地址要配置成test1的网关地址
把ens33的内容复制到ens36中
把名字改成ens36,在把ip地址改为外网地址
修改配置允许test2
进行转发
开启test2作为网关服务器的转发功能
使他立即生效不用重启
重启网络,进入虚拟机进行操作
看是否修改成功
把192.168.88.0这个网段出来的地址只要通过ens36出去的,都转换成10.0.0.10
检查一下
从test1访问test3,看一下日志
指令解析
查看一下策略是否存在