iptables 实现nat转发

最新推荐文章于 2024-06-03 15:24:47 发布
最新推荐文章于 2024-06-03 15:24:47 发布
阅读量1k 收藏 1
点赞数
分类专栏: linux 文章标签: linux iptables firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nqxqxq/article/details/75101159
版权

iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核中,并且按照不同的目的被组织成  的集合。 由一组预先定义的  组成, 包含遍历顺序规则。每一条规则包含一个谓词的潜在匹配和相应的动作(称为 目标),如果谓词为真,该动作会被执行。也就是说条件匹配。iptables 是用户工具,允许用户使用  和 规则


表(Tables)
iptables 包含 5 张表(tables),常用的是前2种:
filter 是用于存放所有与防火墙相关操作的默认表。
nat 用于 网络地址转换(例如:端口转发)。
raw 用于配置数据包,raw 中的数据包不会被系统跟踪。
mangle 用于对特定数据包的修改(参考 损坏数据包)。
security 用于强制访问控制网络规则


下面介绍常见的2种:

filter (过滤器):主要跟进入 Linux 本机的封包有关,这个是预设的 table 
INPUT:主要与想要进入我们 Linux 本机的封包有关;
OUTPUT:主要与我们 Linux 本机所要送出的封包有关;
FORWARD:这个咚咚与 Linux 本机比较没有关系, 他可以『转递封包』到后端的计算机中,与下列 nat table 相关性较高。


nat (地址转换):是 Network Address Translation 的缩写, 这个表格主要在进行来源与目的之 IP 或 port 的转换,与 Linux 本机较无关,主要与 Linux 主机后的局域网络内计算机较有相关。
PREROUTING:在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
POSTROUTING:在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)
OUTPUT:与发送出去的封包有关。


iptables的流程图


                               XXXXXXXXXXXXXXXXXX
                             XXX     Network    XXX
                               XXXXXXXXXXXXXXXXXX
                                       +
                                       |
                                       v
 +-------------+              +------------------+
 |table: filter| <---+        | table: nat       |
 |chain: INPUT |     |        | chain: PREROUTING|
 +-----+-------+     |        +--------+---------+
       |             |                 |
       v             |                 v
 [local process]     |           ****************          +--------------+
       |             +---------+ Routing decision +------> |table: filter |
       v                         ****************          |chain: FORWARD|
****************                                           +------+-------+
Routing decision                                                  |
****************                                                  |
       |                                                          |
       v                        ****************                  |
+-------------+       +------>  Routing decision  <---------------+
|table: nat   |       |         ****************
|chain: OUTPUT|       |               +
+-----+-------+       |               |
      |               |               v
      v               |      +-------------------+
+--------------+      |      | table: nat        |
|table: filter | +----+      | chain: POSTROUTING|
|chain: OUTPUT |             +--------+----------+
+--------------+                      |
                                      v
                               XXXXXXXXXXXXXXXXXX
                             XXX    Network     XXX

常用命令
显示规则(默认filter表)
# iptables -L -n

显示nat 规则

# iptables -L -n -t nat

清空策略
# iptables -F

清空计数

# iptables -Z

删除自定义规则链

# iptables -X

删除指定表

#iptables -t nat -X

开机启动
# chkconfig iptables on
# chkconfig iptables off

启停/保存
# /etc/init.d/iptables stop /start/restart/save

定义自己的链
#除了INPUT,FORWARD,OUTPUT链,可以定义自己的链  
# iptables -N selfish     #定义一个selfish链,相当于多了一扇门  
# iptables -X selfish     #删除selfish这条链 
# iptables -F      #删除前需要清空策略,否则链路删除不掉  


查看规则文件
# vi /etc/sysconfig/iptables


此规则表示允许22接口ssh

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-m引用模块 state 后面接状态NEW

-j 表示jump 后接动作


允许SSH连接
-A INPUT -p tcp -m tcp -i eth0 --dport 22 -j ACCEPT
允许DHCP
-A INPUT -p udp -m udp -i eth0 --dport 67:68 -j ACCEPT
允许eth0的日志记录行为,级别4
-A INPUT -i eth0 -j LOG --log-prefix "IPTABLES-LOG-INPUT-LAN:" --log-level 4


NAT表:网络地址转换(Network Address Translation)
包括三个动作
(1)DNAT:改变数据包的目的地址使包能重路由到某台机器(使公网能够访问局域网的服务器)
(2)SNAT: 改变数据包的源地址(使局域网能访问公网)
(3)MASQUERADE:和SNAT一样使局域网能访问公网,无固定IP使用PPP.PPPoE等拨号上网接入Internet


使用iptables nat实现端口转发
 
Nat表包含3条链:

(1)PREROUTING链 :数据包到达防火墙时改变包的目的地址。
(2)OUTPUT链:改变本地产生数据包的目标地址。
(3)POSTROUTING:在数据包离开防火墙时改变数据包的源地址。


举个栗子,比如mysql生产服务器经常会限制端口,只允许内网访问,那么可以在一台内网机器上配置nat转发


mysql服务器 192.168.79.129:3306

本地服务器 192.168.79.128 选择一个转发端口,如33306

如下配置可实现 192.168.79.128:33306-->192.168.79.129:3306


首先确定192.168.79.128有开启转发:

# vi /etc/sysctl.conf

net.ipv4.ip_forward = 1

如更改后需执行sysctl -p



在192.168.79.128上执行:
Iptables  表名   链名    匹配条件  动作

# iptables -t nat -A PREROUTING -p tcp --dport 33306 -j DNAT --to-destination 192.168.79.129:3306
# iptables -t nat -A POSTROUTING -d 192.168.79.129 -p tcp --dport 3306 -j SNAT --to 192.168.79.128
# service iptables save

DNAT将128对33306访问转为129的3306;

SNAT将到129的3306的source定义为128;


之后便可以直接连接192.168.79.128:33306来访问mysql服务器


参考

https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)
https://my.oschina.net/HankCN/blog/117796
http://blog.csdn.net/wailaizhu/article/details/53488954

http://cn.linux.vbird.org/linux_server/0250simple_firewall.php

neoq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VMware和iptables如何分别配置NAT实现内网共享上网
weixin_47680367的博客
08-06 841
虚拟机nat
iptables实现NAT
danssion的专栏
06-25 409
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <div id="content" class= "content mod-cs-content text-content clearfix">1.概述 1.1
iptablesNAT端口转发设置
weixin_34232744的博客
09-12 607
背景:服务器A:103.110.114.8/192.168.1.8,有外网ip,是IDC的一台服务器服务器B:192.168.1.150,没有外网ip,A服务器是它的宿主机,能相互ping通服务器C:192.168.9.120,是公司的一台服务器,能上网。服务器C可以直接ssh登陆A服务器,但是不能直接登陆服务器B,因为它们处在两个不同的局域网内。现在要求能从服务器C上ssh登陆服务器B,并且做s...
iptables外网一端口通过NAT转发内网一服务器端口上
weixin_34124651的博客
03-05 266
命令格式 -A PREROUTING -d 服务器IP -p tcp -m tcp --dport 端口2222 -j DNAT --to-destination 内网IP:22 -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o 网卡eth0 -j SNAT --to-source  服务器IP 直接修改/etc/sysconfig/iptabl...
iptables配置NAT实现端口转发与ss命令的讲解
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
使用iptables进行NAT转发
boyemachao的专栏
07-01 2万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
使用Linux中的iptables完成NAT转发服务
m0_52614540的博客
05-08 1834
如果使用vi /etc/sysconfig/iptables命令查看iptables配置文件,就会发现多了一条nat表的snat转发规则。找到 net.ipv4.ip_forward = 1 这一条,确保后面的值为1就行,如果没有这一条,手动加进去。第二步:设置iptablesNAT转发规则,在有公网的服务器上(别忘修改为自己对应转发的IP地址)保存退出,然后使用 sysctl -p 命令使上面的修改生效。第三步:重启iptables使规则生效。#查看与编辑iptables文件信息。
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网 本文将详细介绍如何使用iptables实现端口转发和内网共享上网。iptables是一个Linux下的优秀的nat+防火墙工具,可以配置灵活强劲的防火墙+nat系统。 首先,需要说明的是,...
Linux环境下iptables代理及NAT转发
橘子女侠
04-08 5938
1. 实验环境 Linux rhel6.5作为WEB-内网(client),IP地址:192.168.10.10 ,——VMnet8 ; Linux rhel6.5作为GATEWAY—网关, eth1的IP地址:192.168.10.1——VMnet8;eth2的IP地址:202.100.10.1——VMnet1; Linux rhel6.5作为WEB-外网(client),IP地址:20...
14. 深入理解iptablesNAT转发技术
# 1. iptables简介和基本概念 1.1 iptables是什么 iptablesLinux操作系统上用于管理和过滤网络数据包...在iptables中,NAT转发是一种网络地址转换技术,用于将内部网络的IP地址映射为外部网络的IP地址,实现内网主机
kali通过iptables实现端口转发功能
06-12 1867
1. 如果没有安装iptables,先安装 2.启动系统IP转发功能3.成功启动如下 4.启动nat模块iptables -t nat -A POSTROUTING -j MASQUERADE 启动可在POSTROUTING通道中看到5.添加80与443端口转发到8080 添加成功后可查看到已添加的转发规则 成功转发并监听......
iptables转发技术
abg49988的博客
11-24 229
NAT 一. 什么是 NAT NAT(Network Address Translation)译为网络地址转换。通常路由器在转发我们的数据包时,仅仅会将源MAC地址换成自己的MAC地址,但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口...
iptablesnat转发
weixin_34358365的博客
06-29 225
首先把转发策略打开[root@localhost~]#vi/etc/sysctl.conf net.ipv4.ip_forward=1 [root@localhost~]#sysctl-p一、把访问192.168.1.125的80端口的请求转发到172.16.119.120的8000端口[root@localhost~]#iptables-tnat-A...
iptables转发基础
2301_77110605的博客
04-18 847
iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作要使用iptablesNAT功能,我们首先需要启用网卡的IP转发功能如果想要永久生效,我们要编辑文件,设置,然后用sysctl -p命令使配置文件生效。我们使用**-t nat**参数指明使用nat表,因为iptables默认使用filter表。nat表同filter表一样有三条缺省的”链”(chains):POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址。
Linux 通过 iptables 实现 nat 转发
有理论,有实验,有结论,可为一篇文章
08-17 4043
标记一下,今天想让一台Red Hat Enterprise Linux 7开通iptablesnat转发功能,找了半天。 A服务器:192.168.30.20/24 B服务器:192.168.30.1/24,eth0; 192.168.40.1/24,eth1 C服务器:192.168.40.20/24 目标:让A可以ping和ssh到c机器。这就需要通过B服务器来跳转。 操作过程: 1、在B服务器上开启内核路由转发参数 临时生效: echo “1” > /proc/sys/net/ipv4/ip
【docker】iptables实现NAT
热门推荐
morris
11-18 3万+
iptables是一个Linux内核中的防火墙工具,可以被用来执行各种网络相关的任务,如过滤、NAT和端口转发等,可以监控、过滤和重定向网络流量。
IPTABLESNAT表来实现数据转发
最新发布
zimuKobby的博客
06-03 328
项目中有台虚拟机,每天凌晨1:00 - 08:00 总会有几次莫名奇妙的超时,原因未知。虚拟机只部署了NGINX,用NG做转发请求到接口服务器上,为了验证下是不是NG用户态工作的时候哪个地方导致了卡顿,于是采用iptables的方案将NG收到的请求直接转到物理机上去。将主机192.168.1.1 的8080端口的TCP协议的请求,全部通过iptablesnat转发给192.168.1.10 物理机的8080端口。
iptables NAT 转发
03-07
iptablesLinux系统中的一个工具,用*** Translation)是iptables的一个功能,用于实现网络地址转换和端口转发NAT转发是指将来自一个网络的数据包转发到另一个网络的过程。它通常用于将私有网络中的IP地址转换为公共网络中的IP地址,以实现内部网络与外部网络的通信。 在iptables中,可以使用以下命令配置NAT转发规则: 1. 配置源地址转换(SNAT): - 使用`-t nat -A POSTROUTING -s 源IP/子网掩码 -j SNAT --to 目标IP`命令将源IP地址转换为目标IP地址。 - 例如,`iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 203.0.113.10`将192.168.1.0/24网段的源IP地址转换为203.0.113.10。 2. 配置目标地址转换(DNAT): - 使用`-t nat -A PREROUTING -d 目标IP -j DNAT --to-destination 目标地址`命令将目标IP地址转换为目标地址。 - 例如,`iptables -t nat -A PREROUTING -d 203.0.113.10 -j DNAT --to-destination 192.168.1.10`将目标IP地址为203.0.113.10的数据包转发到192.168.1.10。 3. 配置端口转发: - 使用`-t nat -A PREROUTING -i 输入接口 -p 协议 --to-destination 目标IP:目标端口`命令将源端口转发到目标IP和目标端口。 - 例如,`iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:8080`将来自eth0接口的80端口的数据包转发到192.168.1.10的8080端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值