iptables local packet -- network packet

最新推荐文章于 2023-03-08 09:49:11 发布
最新推荐文章于 2023-03-08 09:49:11 发布
阅读量178 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nia305/article/details/119755283
版权

现象

之前使用socat、ssh tunnel 能在应用层做转发,这次想在netfilter里面就把转发做掉,但是犯了一个错误:在本台机器上面产生的包不通过nat的PREROUTING链

测试命令(错误)

  1. 添加trace
sudo iptables -t raw -A PREROUTING -j TRACE -p tcp --dport 8003 --destination 127.0.0.1

这条命令可以追踪从lo这个接口进来的包。

  1. 添加DNAT
sudo iptables -t nat -A PREROUTING -j DNAT -p tcp --destination 127.0.0.1 --dport 8083 --to-destination 121.121.121.121

这条命令就是想把dst_addr改成121.121.121.121

  1. 在121.121.121.121远端机器上,用nc 起一个监听
nc -l 8083
  1. 在本地机器上curl
curl http://localhost:8083 --interface enp88s0
  1. 查看trace
    看不到任何的关于PREROUTING链之后的步骤

在这里插入图片描述
红框里面的地方都没走到,看样子在本地发出的包,不会走INPUT PATH。

测试命令(正确)

  1. 在OUTPUT链里面加DNAT,在POSTROUTING链里面加MASQUERADE
sudo iptables -t nat -A OUTPUT -j DNAT -p tcp --dport 8083 --to-destination 121.121.121.121 
sudo iptables -t nat -A POSTROUTING -j MASQUERADE -p tcp --destination 121.121.121.121
  1. 可选项(在raw表OUTPUT里面添加TRACE)
    从图里面可以看到从本地出来的包,首先会到raw的OUTPUT,所以可以在这里加一个TRACE
sudo iptables -t raw -A OUTPUT -j TRACE -p tcp --dport 8083
  1. curl
curl http://localhost:8083 --interface enp88s0

现在就能正确访问到121.121.121.121:8083端口了。

注意点

  1. 使用curl命令的时候,需要指定interface,要不然就默认使用lo这个接口发包,指定为interface的时候,trace可以看到:
    在这里插入图片描述
    可以看到日志里面的流程跟图上是对的上的。

但是使用lo这个接口来执行curl的时候,包就出不去了:
在这里插入图片描述
可以看到在filter OUTPUT这一步就没了,可能就把包丢掉了。但是在filter OUTPUT里面没看到相关的DROP规则,包到哪里去了还要进一步研究下。

相关链接

Unable to get NAT working via iptables PREROUTING chain

HTTP iptable PREROUTING rule is not working

Debugging rules in Iptables

Greetlist
关注
专栏目录
IPTABLES使用宝典-包过滤
renfengjun
06-01 817
最近被经纪人的”永恒“搞的有点烦,WINDOWS处理的时候要更新、要封端口、要装杀毒软件。 忽然想起,Linux上封闭端口的方法还么有仔细研究过,以前使用IPTABLES做过Linux路由,好像还可以用来做包过滤的功能,趁着这个关口,学习一下。
iptables入门和提高
misisippi68的博客
04-18 385
iptables是关于安全的,不得不把基础先搞清楚。 什么是链、规则和表,iptables的命令格式 linux防火墙的实现实在内核中,具体工作在网络的哪一层,查了查百度,似乎在网络层,但我不确定。 内核中的一个数据包处理模块netfilter,它的功能有: 1)网络地址转换(NAT) 2)数据包内容修改 3)数据包过滤【防火墙功能】 我们在这个后面“表”其实是对应的。 链 图中棕色位置就是i...
network packet
weixin_30505043的博客
12-13 298
UDP datagram UDP数据报 The unit of data that TCP sends to IP is called a TCP segment tcp报文 tcp段 The unit of data that IP sends to the network interface is called an IP datagram ip数据报 Th...
iptables整理总结
Vivant
07-01 370
iptables 防火墙 - - - firewall 作用:防止别人进入自己的电脑,攻击自己的电脑,不能杀病毒 攻击的方式: dos ddos cc syn flooding等 SNMP协议 - - - simple network manager protocol 简单网络管理协议 端口 161 tcp/udp 软件防火墙 linux系统的防火墙功能是由内核实现的 防火墙:数据过滤机制 数据包过滤机制是netfilter ,管理工具是iptables netfilter是linux防火墙的“内核
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5505
iptables功能及配置
25个iptables常用示例
11-09 86
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptables -P INPUT (DROP|...
linux查询路由表local、路由表main、路由表default
chenliang0224的专栏
12-27 7243
转发:https://blog.csdn.net/u011068702/article/details/53899537   在 Linux 系统启动时,内核会为路由策略数据库配置三条缺省的规则:  0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。   32766 ...
Netspoc:网络安全策略编译器。 Netspoc针对具有大量防火墙和管理员的大型环境。 防火墙规则源自单个规则集。 支持的是Cisco IOS,NX-OS,ASA和IPTables
02-05
这些将与Perl脚本一起安装,通常在/ usr / local / bin中。 Netspoc是免费软件,用于管理网络拓扑中的所有数据包筛选器设备。 使用网络拓扑的描述,从一个中央规则集生成每个设备的过滤器规则。 支持思科和Linux...
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 3046
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
聊聊容器网络和 iptables
k8s 生态
12-13 650
大家好,我是张晋涛。上周有小伙伴在群里问到 Docker 和 iptables 的关系,这里来具体聊聊。Docker 能为我们提供很强大和灵活的网络能力,很大程度上要归功于与 iptables 的结合。在使用时,你可能没有太关注到 iptables 的作用,这是因为 Docker 已经帮我们自动完成了相关的配置。(MoeLove)➜~dockerd--help|grepiptable...
Linux防火墙之iptables详解
weixin_47669063的博客
03-08 873
正、方向代理、iptables
iptables防火墙概念-规则命令详解-配置文件修改
weixin_45266856的博客
02-15 3536
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
Linux防火墙之iptables
芦苇的博客
05-24 415
内容概要一、Linux防火墙概述二、iptables的四表五链三、iptables的安装iptables防火墙的配置方法规则的匹配 一、Linux防火墙概述 1、netfilter:位于Linux内核中的包过滤功能,称为Linux防火墙的“内核态” 2、iptables:位于usr/sbin/iptables,用来管理防火墙规则。称为Linux防火墙的“用户态” 以上两种都可以表示为 Linux 防火墙 netfilter和iptables的关系 netfilter属于内核态,是内核的一部分,由一些数据包
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Linux 使用iptables标记策略路由负载均衡
heianzhiye333的博客
07-06 987
WAN1数据标记: 1 2 3 4 5 iptables -t mangle -N WAN1 iptables -t mangle -A WAN0 -j MARK --set-mark 1 #标记数据包 iptables -t mangle -A WAN0 -j CONNMARK --save-mark #把数据包中的mark设置到整个连接中 WAN2数据标记: 1 2 3
iptables--命令行解析
xiakewudi的专栏
09-01 3059
一、iptabls命令行初探:         在linux下执行iptables --help  iptables --help iptables v1.4.21 Usage: iptables -[ACD] chain rule-specification [options]        iptables -I chain [rulenum] rule-specificat
Iptables
msun96的博客
01-31 1952
iptables规则原理和组成     1.iptables:将规则组成一个列表,实现绝对详细的访问控制功能。其实就是一个定义规则的工具,让在内核空间当中的netfilter(网络过滤器)读取这些规则。从而实现防火墙功能。     监控路径:             1.内核空间中:从一个网络接口进来,到另一个网络接口去的             2.数据包从内
iptables的基本参数和简单使用方法
小陌成长之路
08-02 8056
iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。
Iptables 指南 1.1.19
leopard_ray的专栏
05-23 2271
Iptables 指南 1.1.19Oskar Andreasson     oan@frozentux.net     Copyright © 2001-2003 by Oskar Andreasson本文在符合 GNU Free Documentation 许可版本1.1的条件下,可以拷贝、分发、更改,但必须保留绪言 和所有的章节,如印刷成书,封
iptables-restore -w
最新发布
08-31
`iptables-restore -w` 是 `iptables` 工具的一个选项,`iptables` 是 Linux 系统中用于管理网络包过滤规则(firewall rules)的强大命令行工具。 `-w` 参数代表 "wait" 或 "write and wait",它的作用是在执行 `iptables-restore` 命令以恢复iptables规则文件(通常是 `.rules` 文件)之前暂停或等待用户确认。 当你运行 `iptables-w`,命令会先将iptables的状态备份,并显示即将应用的所有更改给用户看。用户可以在看到规则列表后检查是否有误,如果有误可以选择不执行或者取消操作。如果用户确认无误,命令才会继续执行并更新iptables设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值