七周四次课(11月30日) 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用...

最新推荐文章于 2024-08-24 17:04:30 发布
最新推荐文章于 2024-08-24 17:04:30 发布
阅读量117 收藏
点赞数
文章标签: 网络 python 运维
原文链接:https://my.oschina.net/u/3708811/blog/1582251
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

10.15 iptables filter表小案例

 

iptables小案例

需求

把80端口,22端口,21端口放行。但是22端口指定IP段访问

vi /usr/local/sbin/iptables.sh   加入如下内容

#!/bin/bash

ipt="/usr/sbin/iptables"  定义变量,目的为了以后加载它

$ipt -F    :首先清空规则

$ipt -P INPUT DROP  : 定义策略行为       DROP 阻断

$ipt -P OUTPUT ACCEPT :定义策略行为  ACCEPT 放行

$ipt -P FORWARD ACCEPT :定义策略行为  ACCEPT  放行

加入新规则

ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT     加该条命令是为了通信更顺畅

指定状态,针对这些状态放行。ESTABLISHED=保持连接 RELATED=两个机器通信完,还继续保持一些额外的通信。

ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

指定端口,网段数据包放行

ipt -A INPUT -p tcp --dport 80 -j ACCEPT  放行指定端口

ipt -A INPUT -p tcp --dport 21 -j ACCEPT  放行指定端口

163447_YCAg_3708811.png

icmp 示例

icmp  会产生一个效果,ping外面的网络会通,但是ping本机不通,只是禁ping。

iptables -I INPUT -p icmp --icmo-type 8 -j DROP

163452_37xj_3708811.png

 

10.16 iptables nat表应用(上)(中)(下)

nat表应用

A机器两块网卡 ens33(192.168.133.130),ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联

需求1:可以让B机器连接外网

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

A上执行命令

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

B机器上设置网关为 192.168.100.1

需求2:C机器只能和A机器通信,让C机器可以直接连通B机器的22端口

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

A机器上执行命令

iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to192.168.100.100:22

A机器上执行命令

iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

B机器上设置网关为192.168.100.1

虚拟机上操作

有两个虚拟机

在虚拟机A上先添加一块网卡,默认选项

163503_sTG0_3708811.png

然后在新添加网卡的右侧选择LAN 区段。

 LAN 相当于把网卡连到内网交换机上去,是真机连不上的。

163508_Y3Hb_3708811.png

在虚拟机B上也要添加一块网卡,把本来的禁用掉。然后在选择LAN的时候要选择同一个区段

163512_EHEy_3708811.png

 

需求1的流程

 

启动AB 两机器

查看A机器 给新增加的网卡增加ip

163516_Sz9S_3708811.png

可以通过ifconfig 命令来手动命令直接设置,但是重启就没有了。如果要永久 就要更改配置文件新创建一下

语法 ifconfig ens37 IP/端口

给A机器ens37 设置为192.168.100.1

163521_eu66_3708811.png

163525_Rymb_3708811.png

给B机器设置ip 192.168.100.100

163531_JKBe_3708811.png

之后互相ping一下。ping通,说明准备工作完成了。B机器处于不能连接外网。A机器处于可以连接外网

之后把A机器 打开路由转发,改下内核配置

/proc/sys/net/ipv4/ip_forward  默认是0 关闭状态

163535_2fJS_3708811.png

之后通过命令

echo "1">/proc/sys/net/ipv4/ip_forward 启动路由转发

163541_fcUp_3708811.png

之后在A机器上增加一条natfilter规则,有了这条规则就可以实现上网了

iptables -t nat -A POSTROUTING -S 192.168.100.0/24 -o ens33 -j MASQUERADE

就是想让100.0 IP 可以上网,做一个伪装

163715_9orf_3708811.png

163720_PpPE_3708811.png

之后在B机器上做一个网关为,192.168.100.1

可以通过 route 命令设置网关

route -n 查看当前网关

route add default gw 网关IP

163736_iDP9_3708811.png

之后B机器去ping A机器连接外网的网卡 192.168.133.130。发现能通,就意味着B机器可以跟外网通信了。

163746_HQXf_3708811.png

我们设置下DNS 

编辑/etc/resolv.conf  能ping通,就说明可以上外网了。

163755_ANW2_3708811.png

163757_2YNl_3708811.png

163800_2Ms5_3708811.png

但是其他机器还是连不上B机器。只能通过A机器连B机器。等于A机器起到一个路由器的功能

 

需求2 流程

通过A机器跳转到B机器。 端口映射 

把100.100的端口映射出来,映射成其它的端口

第一步 打开A机器的路由转发功能

echo "1">/proc/sys/net/ipv4/ip_forward 启动路由转发

给网卡增加IP 已有可忽略

增加两条规则

第一条

出去进入B机器的包

iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100

 DNAT 转发行为  进入到 192.168.133.130/1122 的数据包 转发到 192.168.100.100/22 

163812_MDKb_3708811.png

第二条

B机器返回A机器的包

iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

把B机器192.168.100.100发出的包伪装由 192.168.133.130 ip发出  因为Windows源ip只识别与它可以通信的ip

163815_u3ue_3708811.png

 

给B机器要设置网关

163819_DPvi_3708811.png

之后远程连接B机器,

写的IP 需要A机器的IP 端口也是

163822_Vwsz_3708811.png

163827_rtOv_3708811.png

也是可以跟外网通信的。

163829_nUWi_3708811.png

可以通过w查看源IP

163832_KTj6_3708811.png

转载于:https://my.oschina.net/u/3708811/blog/1582251

weixin_33991727
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkpad-x240-EFI-10.15.6.zip
09-16
标题“thinkpad-x240-EFI-10.15.6.zip”指的是一个针对ThinkPad X240笔记本电脑的EFI(Extensible Firmware Interface)固件文件,该文件适用于苹果的操作系统macOS 10.15.6,也被称为Catalina版本。EFI是苹果计算机...
10.15.4懒人包.txt
04-14
用于在PC电脑或者服务器里的使用VMware/EXSi虚拟机里安装苹果macOS系统,镜像模式是.iso格式的! 如果需要CDR格式,下载后把后缀名改为cdr就好了.无需再转换
七周四次 10.15 iptables filter案例 10.16/10.17/10.18 iptables nat应用
weixin_34277853的博客
05-09 121
2019独角兽企业重金招聘Python工程师标准>>> ...
10.15 iptables filter案例 10.16/10.17/10.18 iptables nat应用
weixin_30433075的博客
05-10 98
10.15 iptables filter 小案列 -需要把80端口、22端口、21端口放行,22端口指定一个ip段,只有这个ip段的ip访问的时候才可以访问到,其他拒绝,这个需求怎么实现,我们用一个脚本来实现,关于shell脚本后面会 讲到 -现在暂时认为脚本就是批量执行的一些命令而已 -首先用vim 编辑脚本文件 vim /usr/local/sbin/iptables.sh 在里面加入如...
10.15 iptables filter案例 10.16/10.17/10.18 iptable
weixin_34123613的博客
05-10 87
10.15 iptables filter案例 10.16/10.17/10.18 iptable初步完成下面就看下是否可以 联网了 转载于:https://blog.51cto.com/13227377/2114670
10.15 iptables filter案例10.16/10.17/10.18 iptables nat应用
weixin_34257076的博客
03-23 103
2019独角兽企业重金招聘Python工程师标准>>> ...
七周四次(12510.15 iptables filter案例 10.16/iptables nat应用(1) 10.17/iptables nat应用(2) 10.18/ iptab...
weixin_30920091的博客
01-25 159
七周四次(12510.15 iptables filter案例10.16/iptables nat应用(1)10.17/iptables nat应用(2)10.18/ iptables nat应用(3)===========================================================================================...
七周四次 10.15 iptables filter案例 /iptables nat应用
chonghaozhi7746的博客
07-12 150
七周四次 10.15 iptables filter案例 10.16/10.17/10.18 iptables nat应用 扩展 1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html 2. sant...
10.15iptables filter案例10.16-10.18iptables nat应用
weixin_34279184的博客
01-25 120
10.15 iptables filter案例RELATED:边源的一个状态的连接,那是连接之后的一些额外的连接ESTABLISHED:保持连接执行这个shell脚本10.16/10.17/10.18 iptables nat应用在A虚拟机上增加一块网卡选择LAN区段点LAN区段 再选 增加 输入名字选择刚才增加的网卡名字在B虚拟机上断开原来的网卡,取消启动时连接增加一个LAN区段的网卡,方法...
10.12firewalld和netfilter 10.15 iptables filter案例 10.16 iptables nat应用
weixin_42213920的博客
08-25 244
10.12 firewalld和netfilter • selinux临时关闭 setenforce 0 • selinux永久关闭 编辑配置文件/etc/selinux/config vi /etc/selinux/config • centos7之前使用netfilter防火墙,centos7开始使用firewalld防火墙,但在centos7系统上也可以运行netfilt...
七周四次 2017.11.30 iptables filter案例iptables nat应用
wtyufdssyh的博客
12-01 195
10.15 iptables filter案例 案例: 需求:把80端口22端口21端口放行,22端口指定一个IP段,只有这个IP段的ip访问的时候才可以访问到,其他段的都拒绝。 定义变量,这样就不用每次都打后面这么长的地址。 首先把之前的规则清除掉,(没有-f指定,默认就是filter) 然后定义默认的策略,这一条是把INPUT链DROP掉 把OUTPUT链
MacOS10.15.5.cdr.txt
07-24
MacOS 10.15.5.cdr 可以直接在VMware15里安装 百度网盘提取码在文档里
macOS Catalina 10.15.7.cdr
11-24
macOS Catalina 10.15.7.cdr
适用VM的mac10.15.4映象cdr.txt
02-23
适用于虚拟机VMware的mac os系统映象 cdr镜像文件,虚拟机可直接通过选择系统映象来创建mac系统,当前版本为10.15.4。
MPLS相关实验
2302_78454622的博客
08-20 580
4、R1上使用静态,R7上运行rip协议,R8上运行ospf协议。3、在R2、R3、R4、R5、R6上运行MPLS。2、R3、R4、R5、R6运行ospf。1、合理利用IP地址进行分配。一、实验拓扑图以及实验要求。一、实验拓扑图以及实验要求。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 726
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
最新发布
qq_69971969的博客
08-24 351
--------------------------------------示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1016
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
R0:Fa0/0: 10.15.0.1/24;Fa1/0: 10.15.3.2/24. R1:Fa0/0: 10.15.0.2/24;Fa1/0: 10.15.1.1/24. R2:Fa1/0: 10.15.1.2/24;Fa0/0: 10.15.2.1/24. R3:Fa0/0: 10.15.2.2/24;Fa1/0: 10.15.3.1/24. 如果Router0 到Router1 的链路断开,Router0 如何到 达目的网络10.15.1.0/24?请写出相关的路由项。
06-09
根据题目所给的网络拓扑,Router0 的直接连接网络10.15.0.0/24 和 10.15.3.0/24,因此如果要到达目的网络 10.15.1.0/24,需要经过 Router2。而 Router2 的直接连接网络10.15.1.0/24 和 10.15.2.0/24,所以 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值