CentOS7 运维 - iptables防火墙 | 规则实例 | SNAT | DNAT | 超详细

最新推荐文章于 2024-07-27 00:15:00 发布
最新推荐文章于 2024-07-27 00:15:00 发布
阅读量2.1k 收藏 8
点赞数 1
分类专栏: 运维 文章标签: linux 运维 centos 服务器 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42427971/article/details/114941827
版权
本文详细介绍了CentOS7中iptables防火墙的工作原理,包括规则表(raw、mangle、nat、filter)和规则链(input、output、forward、prerouting、postrouting)。重点讲解了SNAT和DNAT的转换应用,如何设置SNAT以共享公网IP地址,以及DNAT如何发布内网服务器。同时,文章还提供了iptables命令行配置方法和规则匹配条件的实例。
摘要由CSDN通过智能技术生成

CentOS7 运维 - iptables防火墙

一、概述

工作在网络层的IP信息包过滤系统,由netfilteriptables组成,对数据包内IP地址和端口等信息的处理

netfilter 属于内核的防火墙功能体系,由一些数据包过滤表组成,用于控制数据包过滤处理

iptables 属于用户的刚获取管理体系,用于管理Linux防火墙的命令工具

二、规则表

netfilter/iptables后期简称为iptabes,是基于内核的防火墙,其中内置了rawmanglenatfilter
表里有链,链里有规则

① raw表

  • 用于确定是否对该数据包进行状态追踪
  • 规则链 output | prerouting

② mangle表

  • 修改标记数据包,用于流量整形和策略路由等高级应用
  • 规则链 input | output | forward | prerouting | postrouting

③ nat表

  • 地址转换以及修改数据包中源、目标IP地址或端口
  • 规则链 output | prerouting | postrouting

④ filter表

  • 负责数据包的过滤及规则
  • 规则链 input | forward | output

三、规则链

① input

处理入站数据包,匹配目标IP为本机的数据包

② output

处理出站数据包[一般无需额外配置]

③ forward

处理转发数据包,匹配流经本机的数据包

④ prerouting

在路由选择前处理数据包,用来修改目的地址DNAT,类似映射

⑤ postrouting

在路由选择后处理数据包,用来修改源地址SNAT,类似NAT

►规则表优先顺序

数据包到达防火墙时,规则表之间的优先顺序

raw > mangle > nat > filter

►规则链之间的匹配顺序

  1. 主机型防火墙
  2. 入站数据
prerouting -> input -> 本机的应用程序
  1. 出站数据
本机的应用程序 -> output -> postrouting
  1. 网络型防火墙
  2. 转发数据
prerouting -> forward - > postrouting

自上而下一次匹配,找到的规则就停止(LOG除外),如找不到匹配的规则则按默认策略处理(没修改时,默认允许)

四、iptables的安装

若想使用iptables就需要先关闭firewalld

systemctl stop firewalld
systemctl disable firewalld.service

yum -y install iptables iptables-services
systemctl start iptables

① iptables 命令行配置方法

命令格式

iptables [-t 表名] 管理选项 [链名]
最低0.47元/天 解锁文章
serendipity_cat
关注
专栏目录
centos7 阿里云专有网络利用firewalld自建NAT网关
夏冬丶王阳旭
11-09 7613
此文章不再更新,查看最新版文章和更多内容: 《Centos7 阿里云专有网络VPC自建NAT网关》 ------------------------------------------ 分隔符------------------------------------------ 在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址...
CentOS 7 iptables 防火墙 SNAT DNAT 用法
一直被模仿,从未被超越
04-28 4231
iptables 命令基本参数和用法 iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP] 参数 作用 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F ...............
CentOS7下操作iptables防火墙和firewalld防火墙
最新发布
Linux运维老纪的博客
07-27 1291
CentOS 7在安全性方面提供了多层次的保护措施,‌包括防火墙管理、‌系统更新、‌用户管理、‌以及通过系统配置增强安全性。‌本章详细介绍Linux安全firewalld和iptables.
Centos7内网服务器上网SNAT
qq_42869878的博客
04-14 844
环境: 服务器A可以上网:192.168.0.248 服务器不只有内网IP:192.168.0.23 1、 分别centos7上的2台主机上关闭firewad [root@centos7 ~]# systemctl stop firewalld 2、代理(服务器A)上打开内核转发 [root@centos7 ~]# echo 1 >/proc/sys/net/ipv4/ip_forward [root@centos7 ~]# sysctl -p /etc/sysctl.conf #使其生...
centos 系统 iptables 应用实例详解
weixin_38387929的博客
12-24 1634
此篇文章记录,通过xl2tp二层传输协议,在阿里云服务器中启用 iptables 服务,把特定端口转发至公司ARM服务器的组网应用。从而解决公司ARM服务器与阿里云服务器之间专用网络传输功能。
CentOS7.2(单网卡iptables)做DNAT访问弹性IP地址端口转发到后端无公网IP的服务器不同端口
zhangmingda3的博客
04-13 715
通过访问有公网IP的主机(192.168.5.221)的13306端口转发到无公网IP的主机192.168.5.94的80端口 环境准备 无弹性IP的主机,和有弹性IP的centos7.4为 同一个VPC 同子网 本例:【无弹性IP主机】192.168.5.94 【有弹性IP主机】192.168.5.221 【安全组互信】192.168.0.94 主机所在安全组
iptables防火墙(二)-SNAT和DNAT原理与应用
Another_Feng的博客
03-19 966
@TOC SNAT原理与应用: SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理 修改数据包的源地址。 SNAT转换 SNAT转换前提条件: 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开: vim /etc
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2862
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器iptables规则 小知识扩展 DNAT策略与应用
iptables防火墙及SNAT和DNAT
微光
07-15 430
每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
防火墙iptables 之 SNAT和DNAT
qq_64333664的博客
09-26 497
(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。Net:网段,host:主机。(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。(4)-s 0 ∶ 抓取数据包时默认抓取长度为68字节。:192.168.100.102(nat1)、关闭防火墙和selinux、开启http服务。ip:12.0.0.1(nat2)、关闭防火墙和selinux、开启http服务。
Centos7防火墙iptables
liubei_one的博客
03-08 474
防火墙配置iptables,filewalldhttps://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#DNATTARGET三张表介绍:filter负责过滤数据包,包括的规则链有,input,output和forward;nat则涉及到网络地址转换,包括的规则链有,prerouting,postr...
centos7.6——防火墙基础(iptables)——SNAT和DNAT应用配置
weixin_42099301的博客
08-04 1791
centos7.6——SNAT和DNAT应用配置 文章目录centos7.6——SNAT和DNAT应用配置SNAT和DNAT原理一、实验拓扑图二、实验环境三、实验描述四、实验步骤4.1 防火墙服务器配置4.2 外网服务端配置4.3 内网客户端配置 SNAT和DNAT原理 一、实验拓扑图 二、实验环境 centos 7.6 三台 防火墙服务器:VM《8》 内网客户端:VM《3》 外网服务端:VM《6》 三台虚拟机都是仅主机模式,基于VMnet1网卡 三、实验描述 四、实验步骤 4.1 防火墙服务器配置
centos7 利用firewalld自建NAT网关
混沌初开
05-14 3665
在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址等,具体的原理有兴趣的百度一下就知道了。在传统机房内几乎都是有路由器的,而路由器也自带网关的功能,基本用不到自建NAT,但是在如今横行的公有云中,却是有着很大的需求,例如阿里云,阿里云内网中没有公网IP的电脑如何通过有公网IP的电脑进行上网,这就需要NAT网关。其他公有云也类似,这里以...
centos 添加DNAT SNAT
javabaidu的专栏
08-25 821
外网服务器IP 101.168.200.22 开放端口8310 内网服务器IP 192.168.55.72 开放端口8310 使访问外网101.168.200.22:8310的请求转发到内网192.168.55.72:8310 前题条件 打开服务器的端口转发 参考文章 [url=http://blog.csdn.net/michaelzhou224/article/details...
Centos 7 NAT配置
qq_50966485的博客
02-04 783
Centos 7 NAT配置
iptables forward DNAT转发
神之天佑
07-25 4156
1.环境:(3台) [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core)  client           192.168.157.41 iptables       192.168.157.42 server          192.168.157.43 2.关掉firewalld(3...
Centos6.5 iptables 中的SNAT
qq_43419662的博客
10-17 466
SNAT 配置网卡 网关服务器 配置双网卡 具体命令 cd /etc/sysconfig/network-scripts cp ifcfg-eth0 ifcfg-eth1 ip add //查看网卡信息 复制 eth1 MAC地址 vim ifcfg-eth1 进行修改 service network restart vim /etc/sysctl.conf 修改 ne...
linux下ftp防火墙端口映射,centos6利用iptables用DNAT实现端口映射并解决ftp列表错误问题...
weixin_33362939的博客
04-30 541
之前写了centos7下利用firewall防火墙实现了端口映射的功能来达到加速80端口的目的,但是如果同时也要转发ftp流量的话就会一直出现ftp连接列表错误问题,查询了下相关资料,这是由于源IP通过本机IP转发到目标IP,在进入被动模式的时候,目标IP发送了目标的IP给源IP,所以源IP就直接尝试和目标IP建立数据连接,因为建立数据连接和控制连接的ip不同,所以目标IP拒绝访问,可以使用ipt...
CentOS 6/7防火墙关闭教程:iptables与firewalld操作详解
值得注意的是,虽然文章没有详细列出在 CentOS 7 上切换到iptables的过程,但一般来说,如果需要将firewalld更改为iptables,可能需要手动编辑防火墙配置文件,或者查阅官方文档进行适当的设置。此外,随着 CentOS 7...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值