学习centos第十六天---主机防火墙路由

最新推荐文章于 2025-04-23 11:03:42 发布
原创 最新推荐文章于 2025-04-23 11:03:42 发布 · 536 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍并演示了SNAT(源地址转换)和DNAT(目的地址转换)的配置与应用,包括如何在不同网络环境下进行IP地址转换,以及在两台虚拟机上进行实验的具体步骤。

一、SNAT(源地址)转换

 

 

下面两图表示未作SNAT和做了SNAT的情况

 

 

SNAT的配置和前提条件:

 

打开IPV4 的转发功能

 

 

把net.IPV4.ip_forward 改成1,表示开启IPV4转发

 

使配置生效。

 

在某些情况下,网关的外网IP地址可能并不是固定的,例如使用ADSL宽带接入时。那么在这种网络环境下,应该如何设置SNAT策略呢?针对这种需求,iptables提供了一个名为MASQUERADE(伪装)的数据包控制类型,MASQUERADE 相当于SNAT的一个特例,同样用来修改(伪装)数据包源IP地址,只不过它能够自动获取外网接口的IP地址,而无需使用 ' —to-source ' 指定固定的IP地址。

 

SNAT实验:

实现内容:准备两台虚拟机,一台centos1 一台centos2,centos1两张网卡,一张桥接到本机,一张为vmnet12,centos 2的网卡也设置成vmnet12 ,假设vmnet12 设公网,桥接的网络是内网;假设内网是192.168.8.0/24网段,公网是192.168.40.0/24,我们要在真实机访问centos2的httpd服务

 

(注意清空filter表,因为SNAT和DNAT走forward,直接拒绝额)

第一步:配置centos1 的两张网卡:eth0和eht1,和centos2的网卡

 

 

cnetos1 双网卡设置

 

 

 

centos 2 的网卡配置

 

 

第二步:开启IPV4 数据包转发

 

 修改vim  /etc/sysctl.conf 文件  把net.IPV4.ip_forward 改成1

 

设置重启后配置任然生效

 

第三步:开启cnetos 1的防火墙,查看nat表,配置SNAT策略(注意清空filter表,因为转发默认是拦截的):

 

清空filter 表

 

查看 nat 表的配置

 

配置SNAT

 

 

第四步查看是否成功:

实体机访问httpd服务器成功

 

实体机ping  httpd服务器

 

2.目的地址转换(DNAT)

当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。

 

DNAT实验:

实现内容:准备两台虚拟机,一台centos1 一台centos2,centos1两张网卡,一张桥接到本机,一张为vmnet12,centos 2的网卡也设置成vmnet12 ,假设vmnet12设内网,桥接的网络是公网;假设公网是192.168.8.0/24网段,内网是192.168.40.0/24,我们要在公网访问内网的服务器

 

(注意清空filter表,因为SNAT和DNAT走forward,直接拒绝额)

第一步:配置centos1 的两张网卡:eth0和eht1,和centos2的网卡

 

cnet0s1 双网卡设置

 

 

 

centos 2 的网卡配置

 

 

 

 

 

 

 

第二步:开启IPV4 数据包转发

 

 修改vim  /etc/sysctl.conf 文件  把net.IPV4.ip_forward 改成1

 

设置重启后配置任然生效

 

 

 

第三步:开启cnetos 1的防火墙,查看nat表,配置SNAT策略(注意清空filter表,因为转发默认是拦截的):

 

清空filter 表

 

查看 nat 表的配置

 

配置DNAT

 

SNAT+DNAT注意事项:

·SNAT策略只能用在nat表的POSTROUTING链;

·SNAT将内部地址的私有IP转换为公网的公有IP

·SNAT用于内部共享IP访问外部。

·DNAT策略只能用在nat表的PREROUTING;

·DNAT主要用于内部服务对外发布;

一张图让你理解DNAT和SNAT

 

3.防火墙规则备份

 

 

4.防火墙还原

iptables-restore   <  /iptables.txt

 

 

 

 

linux软件防火墙--firewalld
景天科技苑
01-02 1万+
CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
Centos8.5.2111(2)之基于docker容器的SELinux及防火墙配置与管理
wusam的专栏
09-28 1641
相应地,firewalld提供了九个区域的配置文件,分别是trusted.xml、home.xml、work.xml 、public.xml、dmz.xml、block.xml、drop.xml、internal.xml、external.xml,他们都保存在“/usr/lib/firewalld/zones/”目录下。-rw-------. 1 root root system_u:object_r:var_log_t:s0 2121223 9月 19 21:13 /var/log/messages。
centos7.2 关闭防火墙-增加默认路由
weixin_39576238的博客
08-04 178
查看防火墙是否运行 firewall-cmd --state 关闭防火墙 systemctl stop firewalld service 增加默认路由 route add default gw 192.168.0.1 # 可以配置网卡的ip当做出口地址 后续补充中-----
CentOS 7防火墙开启路由功能开放特定端口
qq_40907977的博客
06-13 999
开启路由功能 firewall-cmd --add-masquerade 开启路由功能转发功能
CentOS 7防火墙开启路由功能开放特定端口_防火墙路由器开放的端口
2401_84247423的博客
04-15 977
人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!查看是否有中文语言包可以在终端输入locale命令,如有zh cn 表示已经安装了中文语言。登陆linux系统打开操作终端之后,输入echo $LANG可以查看当前使用的系统语言。firewall-cmd --add-masquerade 开启路由功能转发功能。2.禁止root远程直接登录。2、查看安装的语言包。
Centos防火墙配置
热门推荐
m0_65307735的博客
11-02 1万+
centos配置防火墙
centos firewall 理解
qq_43615820的博客
04-19 270
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 2.配置firewalld-cmd 查看版本: firewall-cmd ...
Linux之彻底掌握防火墙-----安全管理详解
小峰编程
04-23 1615
基于Linux的防火墙介绍,分类:软、硬件防火墙,四表五链(五表五链),iptables的介绍应用,firewalld的介绍应用,iptablesfirewalld实现本机端口的转发,实现跨主机的端口转发,实现SNATDNAT。
CentOS7-部署指令集
weixin_40017062的博客
04-19 1927
systemd、systemctl、firewalld、firewall-cmd、docker等系统部署相关指令集
2024年运维最全(二)Linux 防火墙----网络防火墙,NET,firewalld(1),2024年最新我把所有Linux运维第三方库整理成了PDF
m0_55030688的博客
05-04 1075
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
centos(16)-搜索文件which/whereis/find
JAVA博客
06-24 848
本篇介绍如何使用which、whereis、find三个命令来搜索文件。搜索命令文件which java:搜索java命令,结果表示,每次执行java命令的时候,实际上执行的是/usr/bin/java这个文件,即它的安装目录。再搜索一下cd,可以发现一些系统命令也是放在/usr下的。搜索特定目录文件whereis java:在特定目录(/usr/etc)中搜索名为java的文件。whereis...
绝版centos16通过virtualBox安装centos7.3,设置共享目录
看星星的猿
04-23 332
1.在安装完centos虚拟机后,再安装增强工具,在storage项绑定增强iso文件。 2.启动虚拟机,输入 lsscsi 出现如下界面——> 其中出现/dev/sr0 代表你已经成功挂载光驱在IDE控制器下 3.建立文件夹 mkdir /media/cdrom,然后通过mount 命令将增强工具挂载到/media/cdrom 目录下 mount /dev/sr0 /me...
centos7 防火墙一些相关设置 开机添加静态路由 特殊的方法
weixin_33859844的博客
05-22 808
参考文献: https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls 1、安装firewalld root执行 # yum install firewalld firewall-config   2、运行、停止、禁用firewall...
centos 虚拟机安装及环境配置
xueshanfeitian的博客
04-01 815
centos 虚拟机安装 下载centos镜像文件 去阿里云镜像云下载即可 配置硬件 配置内存 小猿的机子内存是16Gb,所以虚拟机就配置了4个g的内存 配置cpu个数 小猿的机子是4盒8线程的机子,考虑到虚拟机性能,配置如下所示: 安装centos 按照此博文安装centos即可,依次设置各个选项 需要注意的是小猿总共给centos分配了35g的硬盘,其他各个盘的大小如下: 硬盘配置参数 /boot 500M swap 3G /home 3.5G / 18g /var 10G 配置cent
cenos7 Firewalld防火墙高级配置
weixin_45308292的博客
09-19 1723
firewalld防火墙 实验材料及环境如下 一台centos7是内网web服务器 ip :192.168.100.103 : vm1 一台win7是内网测试机 ip: 192.168.1.10 : vm2 一台centos7是网关服务器三块网卡,应该到虚拟机里依次为 ens33 ens37 ens38 依次上到下,从原来到第三块分别是 vm1 vm2 vm3 对应ip为如下 ...
Centos 防火墙介绍
weixin_42688499的博客
04-17 9869
目录 一、防火墙基本介绍 二、iptables(Centos6) 2.1、介绍 2.2、相关命令 三、firewalld(Centos7) 3.1、介绍 3.1.1、zone分类及相关命令 3.1.2、预定义的服务 3.2、相关命令 3.2.1、服务安装 3.2.2、服务启停命令 3.2.3、firewalld规则添加 3.3、富规则 一、防火墙基本介绍 iptables服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,fi...
Centos网络操作之IP、网关、路由防火墙
weixin_45589713的博客
07-25 1123
一、ifconfig 与 ip addr 1.1、 ifconfig ifconfig 配置地址: # 例如修改eth0网卡的ip为192.168.174.100,子网掩码为255.255.255.0 命令: ifconfig eth0 192.168.174.100/24 备注:使用ifconfig修改ip会直接在内存中生效,重启系统或者重启network服务就丢失 ifconfig显示网卡信息,被禁用的网卡看不到(拔了网线断开连接不算禁用,仍然能看到该网卡) ifconfig -a :不管启用的网
CentOS 防火墙配置(firewall)
crayon
10-08 1万+
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
【Linux|CentOS】配置防火墙
Jack
05-17 9498
Linux配置防火墙
直接路由方式 如下图所示,我们有两个物理主机1主机2,我们在各自宿主机上启动一个centos容器,启动成功之后,两个容器分别运行在两个宿主机之上,默认的IP地址分配如图所示,这也是Docker自身默认的网络。 此时两台主机上的Docker容器如何直接通过IP地址进行通信? 一种直接想到的方案便是通过分别在各自主机添加路由 来实现两个centos容器之间的直接通信 方案原理分析 由于使用容器的IP进行路由,就需要避免不同主机上的容器使用了相同的IP,为此我们应该为不同的主机分配不同的子网来保证。于是我们构造一下两个容器之间通信的路由方案,如下图所示。 如上图 从container1 发往 container2 的数据包,首先发往container1的“网关”docker0,然后通过查找主机1的路由得知需要将数据包发给主机2,数据包到达主机2后再转发给主机2的docker0,最后由其将数据包转到container2中;反向原理相同,不再赘述。 配置过程 1.分别对主机1主机2上的docker0进行配置 [root@host1 ~]# cat /etc/docker/daemon.json {"bip":"172.17.0.254/24"} [root@host2 ~]# cat /etc/docker/daemon.json {"bip":"172.17.1.254/24"} 2.重启docker服务 主机1主机2上均执行如下命令重启docker服务以使修改后的docker0网段生效 systemctl restart docker 3.添加路由规则(到对方网络 互指对方ip为网关) 主机1上添加路由规则如下: [root@host1 ~]# route add -net 172.17.1.0 netmask 255.255.255.0 gw 192.168.0.205 主机2上添加路由规则如下: [root@host2 ~]# route add -net 172.17.0.0 netmask 255.255.255.0 gw 192.168.0.204 4.配置iptables规则 主机1上添加如下规则: [root@host1 ~]# iptables -t nat -F POSTROUTING [root@host1 ~]# iptables -t nat -A POSTROUTING -s 172.17.0.0/24 ! -d 172.17.0.0/16 -j MASQUERADE 如有问题可以添加: iptables -t nat -I PREROUTING -s 172.17.1.0/24 -d 172.17.0.0/24 -j DNAT --to 1 72.17.0.254 主机2上添加如下规则: [root@host2 ~]# iptables -t nat -F POSTROUTING [root@host2 ~]# iptables -t nat -A POSTROUTING -s 172.17.1.0/24 ! -d 172.17.1.0/16 -j MASQUERADE 如有问题添加: iptables -t nat -I PREROUTING -s 172.17.0.0/24 -d 172.17.1.0/24 -j DNAT --to 1 72.17.1.254 测试 主机1上启动centos容器: [root@host1 ~]# docker run -it --name test1 centos7.2 /bin/bash 主机2上启动centos容器 [root@host2 ~]# docker run -it --name test1 centos7.2 /bin/bash ok 通信成功! [root@d079a15a4126 /]# ping 172.17.1.1 -------------------------------------------------------------------------------- 配置过程 1.分别对主机1主机2上的docker0进行配置 [root@host1 ~]# cat /etc/docker/daemon.json {"bip":"172.18.0.1/24"} [root@host2 ~]# cat /etc/docker/daemon.json {"bip":"172.18.1.1/24"} 2.重启docker服务 主机1主机2上均执行如下命令重启docker服务以使修改后的docker0网段生效 systemctl restart docker 3.添加路由规则(到对方网络 互指对方ip为网关) 主机1上添加路由规则如下: [root@host1 ~]# route add -net 172.18.1.0 netmask 255.255.255.0 gw 172.17.10.102 主机2上添加路由规则如下: [root@host2 ~]# route add -net 172.18.0.0 netmask 255.255.255.0 gw 172.17.10.101 4.4.配置iptables规则 主机1上添加如下规则: iptables -t nat -I PREROUTING -s 172.18.1.0/24 -d 172.18.0.0/24 -j DNAT --to 172.18.0.1 主机2上添加如下规则: iptables -t nat -I PREROUTING -s 172.18.0.0/24 -d 172.18.1.0/24 -j DNAT --to 172.18.1.1 测试 主机1上启动centos容器: [root@host1 ~]# docker run -it --name test1 centos:7.9 /bin/bash 主机2上启动centos容器 [root@host2 ~]# docker run -it --name test1 centos:7.9 /bin/bash ok 通信成功! [root@d079a15a4126 /]# ping 172.18.1.1 -------------------------------------------------------------------------------- flannel方式通信(waeve calico) 除此之外我们还可以通过使用第三方工具为不同主机间创建一个覆盖网络,使之能够 跨节点通信 ,这里将使用Flanneld实现; 环境准备 1.主机解析 [root@node1 ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.0.204 node1.com node1 192.168.0.205 node2.com node2 2.开启路由转发 echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p 3.清除防火墙规则关闭selinux iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F iptables -L -n 4.安装组件 etcd flannel docker 安装etcd,我们采用了yum方式安装 yum install -y epel-release yum makecache fast yum install etcd -y 至此我们的etcd安装完成。 安装flannel yum install flannel -y 最后我们再安装docker yum install -y yum-utils.noarch ###安装yum的扩张工具集 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo ####添加docker-ce的扩展源 yum install -y --setopt=obsoletes=0 docker-ce-17.03.3.ce-1.el7 ####安装docker-ce 最后docker-ce安装完成,我们一定要注意安装顺序,先安装etcdflannel最后安装docker. 更改两台机器的上的etcd配置文件 vim /etc/etcd/etcd.conf ETCD_DATA_DIR="/var/lib/etcd/default.etcd" ####数据存放位置 ETCD_LISTEN_PEER_URLS="http://0.0.0.0:2380" ####监听其他etcd实列地址 ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379,http://0.0.0.0:4001" ####监听客户端地址 ETCD_NAME="node1" ####节点名称 ETCD_INITIAL_ADVERTISE_PEER_URLS="http://node1:2380" ####通知其他成员的etcd地址 ETCD_ADVERTISE_CLIENT_URLS="http://node1:2379,http://node1:4001" ### #通知客户端地址 ETCD_INITIAL_CLUSTER="node1=http://node1:2380,node2=http://node2:2380" ###初始化集群内节点地址 ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster" ##初始化集群的token ETCD_INITIAL_CLUSTER_STATE="new" ##初始化集群状态,new表示新建 以上是etcd集群的配置上面是node1的配置,node2配置node1一样,只是需要把node1改为node2 ETCD_DATA_DIR="/var/lib/etcd/default.etcd" ETCD_LISTEN_PEER_URLS="http://0.0.0.0:2380" ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379,http://0.0.0.0:4001" ETCD_NAME="node2" ETCD_INITIAL_ADVERTISE_PEER_URLS="http://node2:2380" ETCD_ADVERTISE_CLIENT_URLS="http://node2:2379,http://node2:4001" ETCD_INITIAL_CLUSTER="node1=http://node1:2380,node2=http://node2:2380" ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster" ETCD_INITIAL_CLUSTER_STATE="new" 两台主机都配置好后启动(由于集群需要通信) 最后我们启动etcd,并查看其集群状态 systemctl start etcd 设置为开机启动 systemctl enable etcd 查看启动状态 systemctl status etcd 测试集群 [root@node1 ~]# etcdctl member list 43bb846a7344a01f: name=node2 peerURLs=http://node2:2380 clientURLs=http://node2:2379,http://node2:4001 isLeader=false a9aee06e6a14d468: name=node1 peerURLs=http://node1:2380 clientURLs=http://node1:2379,http://node1:4001 isLeader=true 接下来我们配置flannel 两台配置一致 编辑flannel的配置文件,内容如下 vim /etc/sysconfig/flanneld # Flanneld configuration options # etcd url location. Point this to the server where etcd runs FLANNEL_ETCD_ENDPOINTS="http://192.168.0.204:2379,http://192.168.0.205:2379" # etcd config key. This is the configuration key that flannel queries # For address range assignment FLANNEL_ETCD_PREFIX="/atomic.io/network" # Any additional options that you want to pass #FLANNEL_OPTIONS="" FLANNEL_OPTIONS="--logtostderr=false --log_dir=/var/log/ --etcd-endpoints=http://192.168.0.204:2379,http://192.168.0.205:2379 --iface=ens33" 再启动flannel之前需要向etcd内写入子网信息 etcdctl mk /atomic.io/network/config '{"Network":"10.10.0.0/16", "SubnetMin": "10.10.1.0", "SubnetMax": "10.10.254.0"}' 上面的2处红色字体部分必须一致,可以自定义但是必须一致 子网范围为 10.10.0.0/16,最小子网开始为10.10.1.0 最大子网结束为10.10.254.0,至此自定义子网信息我们已经写入完毕。 接下来,我们来启动flannel,并设置为开机启动 systemctl start flanneld systemctl enable flanneld systemctl status flanneld 我们使用 将会发现 在安装flannel后自动生成配置 DropInPaths=/usr/lib/systemd/system/docker.service.d/flannel.conf vim /usr/lib/systemd/system/docker.service ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS 添加上述红色部分即可,引用了flannel的网络 重载配置systemctl daemon-reload 启动docker systemctl start docker node1 node2 分别创建容器测试 主机1上启动centos容器: [root@host1 ~]# docker run -it --name test1 centos7.2 /bin/bash 主机2上启动centos容器 [root@host2 ~]# docker run -it --name test1 centos7.2 /bin/bash [root@bc9b740f6502 /]# ping 10.10.49.2
最新发布
09-10
- 多台安装有 Docker 的宿主机,且这些宿主机需要在同一个物理网络或可路由的网络环境中。 - 网络设备需要支持 IP 地址的直接分配路由功能,例如支持 VLAN 或子网划分的交换机[^1]。 #### 组件安装 直接路由方式...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值