iptables案例,NAT表应用

最新推荐文章于 2024-10-02 10:53:34 发布
最新推荐文章于 2024-10-02 10:53:34 发布
阅读量83 收藏
点赞数
文章标签: 运维 python 网络
原文链接:https://my.oschina.net/u/3579690/blog/1518190
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

10.15 iptables filter表案例

10.16/10.17/10.18 iptables nat表应用

扩展

  1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
  2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
  3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html

10.15 iptables filter表案例

  • service iptables save 保存 restart 重启
  • iptables 参数
    • -F 清空规则 -Z 清空计数器
    • -nvL 查看
    • -A 规则放后面 -I 放前面 -D 扔
    • INPUT OUTPUT
    • -p 协议(tcp udp)
    • -s 源IP --sport 源端口 -d 去IP --dport 去端口 -i 接收网卡 -o 发送网卡
  • policy 修改 iptables -P INPUT DROP 注意会导远程终端断开,且iptables -F不会恢复,需要改回ACCEPT

**需求案例:**服务器的22端口可以被192.168.83网段访问,再放行80、21端口。其他禁止

  • 脚本实现
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
#! /bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
#由于是脚本执行所以会执行完全部命令
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-m是指定检测状态,--state指定数据包状态(配合-m使用),该命令行的目的是使数据处理(通信)更顺畅
$ipt -A INPUT -s 192.168.83.0/24 -p tcp --dport 22 -j ACCEPT
#对指定源网段放行22端口(用于远程)
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

  • 要保证远程设备终端的网段为规则网段。否则将无法继续远程

  • 外网不能往里ping,里往外可以

[root@axiang ~]#iptables -I INPUT -p icmp --icmp-type 8 -j DROP

10.16 -10.18 iptables nat表应用

NAT伪装

**场景:**A机器两块网卡ens33(192.168.83.131)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。

添加网卡 添加虚拟内网

  • 需求1:可以让B机器连接外网
  • 思路:A开启内核转发功能,NAT伪装,B设置网关及DNS

A:

[root@axiang ~]# ifconfig ens37 192.168.100.1/24
[root@axiang ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@axiang ~]# echo "1" > !$	开启内核转发
echo "1" > /proc/sys/net/ipv4/ip_forward
[root@axiang ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@axiang ~]# iptables -t nat -nvL
[root@axiang ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
#NAT表增加转发:对源自192.168.100.0/24网段。转给ens33端口,加工方式:伪装
[root@axiang ~]# iptables -t nat -nvL
...
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      ens33   192.168.100.0/24     0.0.0.0/0

B:

route add default gw 192.168.100.1 #网关指向100.1(如果有别的网口,先ifdown掉)
vi /etc/resolv.conf ##配置DNS
增加一行nameserver 119.29.29.29

效果:B可以ping通外网,物理主机C的虚拟网卡(192.168.83.1)不能ping通B

NAT转换

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

思路:NAT网址转换

A开启内核转发功能,B设置网关及DNS 同上

A:

[root@axiang ~]# iptables -t nat -A PREROUTING -d 192.168.83.131 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
#当有IP包通过TCP访问A的1122端口,则将该IP目的转为访问B的22端口
[root@axiang ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.83.131
#当有源自B的IP包需要转发,则将IP包的源改为A

效果:

注意访问A的IP的1122端口!不是B的。有时候需要重启物理网卡

转载于:https://my.oschina.net/u/3579690/blog/1518190

weixin_34038293
关注
iptables filter案例iptables nat应用
mojianbin的博客
12-01 563
一、iptables filter案例需求:需要把80端口,22端口,21端口放行,但是22端口需要指定一个IP段,只有这个IP段的IP才可以访问到,其他段的一概拒绝vim /usr/local/sbin/iptables.sh 加入如下内容:#! /bin/bash ipt=”/usr/sbin/iptables” ipt−Fipt -F ipt -P INPUT DROP ipt−P
Linux Security(四)之iptables防火墙,filter控制,扩展匹配,nat典型应用
yy1506438689的博客
07-25 275
一、iptables防火墙 1.Linux包过滤防火墙 RHEL7默认使用firewalld作为防火墙 但firewalld底层还是调用包过滤防护墙iptables [root@web100 ~]# yum -y install iptables-services [root@web100 ~]# systemctl start iptables.service 2.iptables,链结构 状态跟踪 包标记 地址转换 过滤 ...
日常运维(四):iptables filter案例 iptables nat应用
宁信1617
10-31 387
1.iptables filter案例 需求:只针对filter,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.137.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。这个需求不算复杂,但是因为有多条规则,所以最好写成脚本的形式。脚本内容如下: #!/bin/bash ipt="/usr/sbin/iptables" $ipt -F
iptables配置NAT实现端口转发与ss命令的讲解
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
【Linux】Iptables 详解与实战案例
康师傅没有眼泪
07-03 4188
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
Linux无法连接docker进程,在Docker容器中运行Docker:无法连接到Docker守护程序
weixin_30959723的博客
04-28 744
我创建了一个Dockerfile在Docker内部运行Docker:FROM ubuntu:16.04RUN apt-get update && \apt-get install -y \apt-transport-https \ca-certificates \curl \software-properties-common && \curl -fsSL http...
iptables nat含义_十(4)iptables语法、iptables filter案例iptables nat应用
weixin_39783426的博客
12-21 189
iptables语法filter:INPUT链:作用于进入本机的包OUTPUT链:作用于送出本机的包FORWARD链:作用于和本机无关的包nat:PREROUTING链:作用是包在刚刚到达防火墙时改变包的目标地址OUTPUT链:改变本地产生的包的目标地址POSTROUTING链:作用是在包将离开防火墙时改变包源地址1.查看iptables规则iptables -nvL (此时默认查看filt...
day 34 iptables nat应用
u012186591的博客
12-01 197
10.15 iptables filter案例 1、iptables案例 vi /usr/local/sbin/iptables.sh //加入如下内容 #! /bin/bash ipt="/usr/sbin/iptables" //定义变量,指定绝对路径,避免因环境变量问题导致命令无法执行 $ipt -F //清除之前的规则 $ipt -P INPUT DROP //“-P
14. 深入理解iptablesNAT转发技术
# 1. iptables简介和基本概念 1.1 iptables是什么 iptables是Linux操作系统上用于管理和过滤网络数据包...在iptables中,NAT转发是一种网络地址转换技术,用于将内部网络的IP地址映射为外部网络的IP地址,实现内网主机
iptablesNAT:实现网络地址转换
# 1. 简介 在本章节中,我们将介绍iptablesNAT实现网络地址转换的基础知识。首先,我们会了解iptables的定义和作用,其次...### 2.1 iptables规则和 iptables规则由多个规则组成,每条规则包含匹配条件和对应的动
OpenWrt 防火墙应用--iptables工具
esansiy的博客
09-22 6996
OpenWrt 防火墙应用--iptables工具OpenWrt 防火墙应用--iptables工具iptables1.1 规则处理动作自定义链常用扩展模块黑白名单机制1.2 常用参数1.3 案例 OpenWrt 防火墙应用iptables工具 OpenWrt 防火墙 openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。 该文件最后会在 /etc
守护进程编写规则与出错记录
aisxyz
12-26 240
在编写守护进程程序时需要遵循以下一些基本规则,以防产生不必要的交互作用: (1)应先调用 umask 将文件模式创建屏蔽字设置为一个已知值(通常是 0),因为由继承得来的文件模式屏蔽字可能会被设置为拒绝某些权限。而另一方面,如果守护进程调用的库函数创建了文件,那么将文件模式创建屏蔽字设置为一个限制性更强的值(如 007)可能更明智,因为库函数可能不允许调用者通过一个显示的函数参数...
一个使用iptables配置NAT的实例
Linux&ubuntu资源分享
12-20 1766
一个使用iptables配置NAT的实例赵珂, 2006-11-24 本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址.准备:CPU: PII或更高系统: 任何Linux版本软件: Iptables网卡: 2块想法
如何用iptables实现NAT
热门推荐
ruixj的专栏
06-14 2万+
准备工作: 1)在使用iptables防火墙之前,必须先打开IP转发功能。# echo “1” > /proc/sys/net/ipv4/ip_forward2)以上内容(第6步生成的内容)保存到 /etc/sysconfig/iptables文件中。3)每修改一次iptables文件后,都要重启iptalbes    # service iptables re
Django Nginx+uwsgi 安装配置
lly202406的博客
10-02 463
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
使用 Docker 构建 LLaMA-Factory 环境
GDHBFTGGG的博客
10-01 1087
使用 Docker 构建 LLaMA-Factory 环境可以简化依赖安装和环境配置。
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
最新发布
haidizym的博客
10-02 433
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python
iptables实现Linux NAT功能详解与应用案例
iptablesNAT功能是网络安全和网络管理中不可或缺的一部分,掌握其原理和命令应用对于网络管理员来说至关重要。通过合理的配置,NAT可以帮助内部网络设备透明地接入互联网,同时提高网络的安全性和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值