iptables--知识总结3(NAT)

最新推荐文章于 2023-04-17 09:45:12 发布
最新推荐文章于 2023-04-17 09:45:12 发布
阅读量587 收藏
点赞数
分类专栏: Linux运维之道 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011456940/article/details/73810737
版权

nat:

  • SNAT:只修改请求报文的源地址
  • DNAT:只修改请求报文的目的地址
源地址转换:iptables -t nat -A POSTROUTING -s 172.16.100.21 ! -d 172.16.100.0 -j SNAT –to-source 192.168.200.1
目的地址转换:iptables -t nat -A PREROUTING -s 172.16.100.21 ! -d 172.16.100.0 -j DNAT –to-destination 192.168.20.23[:Port]

注意进行转换功能的主机内部存储了一张NAT表,能够进行地址相应的转换。当响应报文回复到本机,可以根据NAT表转换成请求报文的源地址。

tcp_wrapper:tcp包装器

对基于tcp协议开发并提供服务的应用程序,提供的一层访问控制工具;
基于库调用实现其功能:
    libwrap

判断服务是否能够由tcp_wrapper进行访问控制:
    (1) 动态编译:ldd命令;
    (2) 静态编译:strings命令查看应用程序文件,其结果中如果出现
        hosts.allow
        hosts.deny

在配置文件在为各服务分别定义访问控制规则实现访问控制:
    /etc/hosts.allow
    /etc/hosts.deny

    配置文件语法:
        daemon_list: client_list [:options]

        daemon_list:
            应用程序的文件名称,而非服务名;
            应用程序文件名称列表,彼此间使用逗号分隔;
                例如:sshd, vsftpd:
                    ALL表示所有服务;

        client_list:
            IP地址;
            主机名;
            网络地址:必须使用完整格式的掩码,不使用前缀格式掩码;所以类似于172.16.0.0/16不合法;
            简短格式的网络地址:例如172.16. 表示 172.16.0.0/255.255.0.0;
            ALL:所有主机;
            KNOWN: 
            UNKNOWN
            PARANOID

            例如:vsftpd服务不允许172.16.100.1访问

        EXCEPT: 除了
            hosts.allow
                vsftpd: 172.16. EXCEPT 172.16.100.0/255.255.255.0 EXCEPT 172.16.100.1

        [:options]
            deny: 拒绝,主要用于hosts.allow文件中
            allow:允许,用于hosts.deny文件,实现allow的功能
            spawn: 启动额外应用程序:
                vsftpd: ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/vsftpd.deny.log
                    %c: client ip
                    %s: server ip
                    %d: daemon name
love_in_code
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙
weixin_53496478的博客
03-24 87
iptables防火墙一级目录二级目录三级目录 一级目录 二级目录 三级目录
iptables概述
weixin_62452835的博客
01-04 585
1、iptables概述 1、linux防火墙 Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 2、netfilter和iptables (1) netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 (2)
Linux防火墙iptables学习笔记(四)iptables实现NAT
weixin_30715523的博客
07-02 935
1.概述1.1 什么是NAT在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改, 更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的i...
iptables 中的NAT使用总结
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
05-15 1万+
首先对SNAT DNAT进行概念介绍: SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情况 DNAT:目标地址转换 和SNAT相反,源地址不变,重新修改目标地址,在本机建立NAT表项,当数据返回时,根据NAT
iptablesNAT使用实验
weixin_33906657的博客
03-03 71
+----------------------+ +--------------------------+ +------------------+| 192.168.1.12 | <--------> | 192.168.1.11 | <--------> | ...
iptables实现NAT
JK0803_wantao的专栏
12-26 747
转自:http://oa.jmu.edu.cn/netoa/libq/pubdisc.nsf/66175841be38919248256e35005f4497/7762e8e1056be98f48256e88001ef71d?OpenDocument 摘要:本文是“用iptales实现包过虑型防火墙”的姊妹篇,主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于ipta
linux启用NAT功能,双网卡共享网络,iptables简单实现
wzh312222的博客
06-21 9610
iptables实现NAT,双网卡网络共享
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1164
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”中。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
火墙管理工具iptables ---iptables的用法、火墙策略的修改
Rengar_Yang的博客
08-23 300
一、常见的两种火墙 iptables 防火墙: iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld防
服务器安全之iptables iptables
ZRJ142098的博客
01-13 1977
[iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好 Iptables是Linux2.4及2.6内核中集成的服务。其功能与安全性比其ipfwadm,ipchains强大的多,iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables
iptables命令、规则、参数详解
diaoxihang5066的博客
12-28 943
表 (table)包含4个表:4个表的优先级由高到低:raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链...
网络安全实验之《防火墙》实验报告
最新发布
7xun's space
04-17 9296
SNAT:开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。解决方法:此时我的主机连接的是wifi,我把wifi关掉,然后主机连接手机的移动热点,再重启ubuntu,输入ifconfig,ens33处便能正常显示ip了。
Linux之iptablesNAT表)讲解篇
qq_62311779的博客
06-18 4658
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT表: ——查看iptables配置 SNAT(源地址转换):...
WiFi开启热点冲突
datoufx的博客
11-20 1078
OS:Linux3.18 + Android4.4 问题点: 开发板已经接入4G模块,可以正常上网,现在要通过开启Wifi热点共享网络,在设置里开启AP模式时,wifi一直在不停的开关,不能打开热点。 原本不加4G模块,ap功能是正常的,添加后不能用,以为是4g模块和wifi驱动冲突,看kernel和logcat,一点点找,iptables这部分存在问题。 具体的natcontroller功能及...
使用iptables进行NAT转发
boyemachao的专栏
07-01 2万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables 详解(NAT)
changexhao的专栏
10-24 5974
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
Linux防火墙iptables之SNAT与DNAT
m0_51160032的博客
11-02 4646
目录 一、SNAT策略及应用 1.1SNAT策略概述 1.2开启SNAT的命令 1.2.1临时打开 1.2.2永久打开 1.3SNAT转换1:固定的公网IP地址 1.4SNAT转换2:非固定的公网IP地址(共享动态IP地址) 1.5SNAT案例 1.5.1实验准备 1.5.2 配置网关服务器(192.168.100.100/12.0.0.1)的相关配置 1.5.2 配置内网服务器(192.168.100.102)相关配置 1.5.3 配置外网服务器(12.0.0.100)的相关配置
android wlan0 网卡过程,Android 9.0双网卡转发到wlan0上网并通过busybox 获取gateway
weixin_32964881的博客
05-25 714
busybox traceroute -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 5- | cut -d ' ' -f 1 | awk '$1=$1'tb8788p1_64_bsp:/ # busybox traceroute -w 1 -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 2-1 192.168.50.1 (192.16...
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值