iptables filter表案例/iptables nat表应用

最新推荐文章于 2024-09-07 08:08:11 发布
最新推荐文章于 2024-09-07 08:08:11 发布
阅读量110 收藏
点赞数
文章标签: 网络 运维 开发工具
原文链接:https://my.oschina.net/yolks/blog/1845897
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

iptables filter表案例

1.新建一个脚本文件

vim /usr/local/sbin/iptables.sh

2.写入脚本内容:

ipt="/usr/sbin/iptables"  
$ipt -F             
$ipt -P INPUT DROP        
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.61.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

上面-s选项后面紧跟的ip可以使用w命令查看当前xshell连接的ip区间即可;

-m state --state <状态>

有数种状态,状态有:

▪ INVALID:无效的封包,例如数据破损的封包状态

▪ ESTABLISHED:已经联机成功的联机状态;

▪ NEW:想要新建立联机的封包状态;

▪ RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设定了他之后,只要未来由本机发送出去的封包,即使我们没有设定封包的 INPUT 规则,该有关的封包还是可以进入我们主机, 可以简化相当多的设定规则。

3.保存脚本文件并sh命令执行此脚本文件

sh /usr/local/sbin/iptables.sh

4.查看规则是否生效

iptables -nvL

5.恢复默认规则

service iptables restart

6.关于icmp的包比较常见的应用,执行以下命令(这条命令会禁止别人ping不通本机,但是本机可以ping通外网)

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

7.删除这条规则命令如下

 iptables -D INPUT -p icmp --icmp-type 8 -j DROP

参考下面实验:

iptables之-m --state

iptables nat表应用

nat表应用
A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。
需求1:可以让B机器连接外网
A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward
A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
B上设置网关为192.168.100.1
需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
A上打开路由转发echo "1">/ proc/sys/net/ipv4/ip_forward A上执行iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130
B上设置网关为192.168.100.1

说白了就是做一个小路由器, 做这个试验无论什么时候一定要确认 ifconfig 输出的 IP 是否是 OK的

在此之前如果使用的是虚拟机演戏的话,需要预备几步工作:

1.给A机器添加网卡

2.默认选项点击完成

3.选择右侧LAN区段:(相当于连到了内网的交换机上, 真机是连不上的, 内网的两台机器可以连上

4.LAN 区段设置, LAN 区段的名称可以自定义

5.选中 设置好的 LAN 区段 并点击确定, 那么就设置好了 LAN 区段

6.添加好的网卡

7.依照以第一台机器的方法对第二台机器设置网卡, 选择之前设置好的 LAN 区段名称; 但是第二台机器有设置好 IP 的网卡, 需要禁掉它

8.启动两台虚拟机, A机器可以远程连接(有设置好 ip 的网卡), 新添网卡因为没设置好 ip, 所以不能远程连接,新添加的ens37LAN区段还没有ip显示

9.添加新增网卡的IP方法: 命令行或设置配置文件, 设置配置文件之前有讲过; 命令行设置的 IP 重启后就不生效了, 所以想 IP 长久存在, 需要拷贝配置文件和配置配置文件

下面手动设置ip命令行的方法

因为不能远程第二台机器, 所以需要在虚拟机端去操作,为了保险,先禁用掉ens33网卡

B机器同样手动设置Ip,设置为192.168.200.100

主机B上ping一下A的LAN区段

主机A上ping一下B主机LAN段

Windos也ping不通两个LAN区段

确认B机器不能上外网

10.想使用 NAT 表/内核转发, 必须要修改一下内核参数

## 如果 /proc/sys/net/ipv4/ip_forward 为 0 就表示没有开启转发, 
cat /proc/sys/net/ipv4/ip_forward
0
## 所以将其设置为 1 , 开启内核转发, 从而打开端口转发(要想使用 NAT , 必须打开它)
echo "1" > /proc/sys/net/ipv4/ip_forward; cat /proc/sys/net/ipv4/ip_forward
1

11.增加一条实现上网的规则: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE , 目的是为了让 192.168.100.0/24 能上网

#增加规则
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o ens33 -j MASQUERADE
#查看规则
[root@yolks1 ~]# iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o ens33 -j MASQUERADE
[root@yolks1 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      ens33   192.168.200.0/24     0.0.0.0/0

12.B 机器设置网关 route add default gw 192.168.200.1 ; 且可以 ping 通另一个网段

设置 B 机器的 DNS 看看能否连网 vi /etc/resolv.conf

这样B机器技能ping通A机器也能ping通外网了,比如你ping一个A机器可以连接外网IP的地址或则ping百度或者腾讯的地址

远程访问B机器 删掉A机器之前设定的nat表的规则; 如果做到这一步出现 Name or service not known , 就要去 iptables -F, 甚至也需要 iptables -t nat -F

iptables -t nat -D POSTROUTING -s 192.168.200.0/24 -o ens33 -j MASQUERADE

重新设定一个nat表的规则(针对进去的数据包)

iptables -t nat -A PREROUTING -d 192.168.61.130 -p tcp --dport 1122 -j DNAT --to 192.168.200.100:22

13.不能每次通过虚拟机终端去操作, 很麻烦, 所以需要通过 A 机器去登录 B 机器, 这叫做端口映射, 而 22 端口正在用, 如果映射成其他端口(eg: 1122)那就可以用了, 也就是说访问 192.168.61.130:1122 就是访问 192.168.200.100:22; 此时 windows 是 A 机器, B 机器是 Linux A, B 机器是 Linux B ;

最后在Xshell设置一个远程登录到IP地址为192.168.61.130端口为1122的服务器即可。

笔记参考:

iptables的实例操作

拓展

  1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
  2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
  3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html

转载于:https://my.oschina.net/yolks/blog/1845897

weixin_34365417
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables nat含义_iptablesNAT
weixin_39761422的博客
12-21 720
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的netfilter,在这里就简要的讲解下iptablesnat,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
iptables filter案例iptables nat应用
mojianbin的博客
12-01 556
一、iptables filter案例需求:需要把80端口,22端口,21端口放行,但是22端口需要指定一个IP段,只有这个IP段的IP才可以访问到,其他段的一概拒绝vim /usr/local/sbin/iptables.sh 加入如下内容:#! /bin/bash ipt=”/usr/sbin/iptables” ipt−Fipt -F ipt -P INPUT DROP ipt−P
linux学习第三十篇:iptables filter案例iptables nat应用
X__linux的博客
11-23 373
netfilter55链介绍 netfilter的五个 filter 这个主要用于过滤包的,是系统预设的,这个也是阿铭用的最多的。内建三个链INPUT、OUTPUT以及FORWARD。INPUT作用于进入本机的包;OUTPUT作用于本机送出的包;FORWARD作用于那些跟本机无关的包。 nat主要用处是网络地址转换,也有三个链。PREROUTING 链的作用是在包刚刚到达防火墙时改变它
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER
SB_YYGY_FHVK的博客
02-13 9698
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLAT firewall-cmd --permanent --zone=trusted --change-interface=docker0 firewall-cmd --permanent --zone=trusted --add-port=4...
docker 端口映射错误解决方法
热门推荐
JackLiu16的博客
02-24 2万+
COMMAND_FAILED: '/sbin/iptables -t nat -A DOCKER -p tcp -d 0/0 --dport 8111 -j DNAT --to-destination 172.17.0.6:8111 ! -i docker0' failed: iptables: No chain/target/match by that name.pkill dockeripta...
Docker容器防火墙报端口映射错误WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER' failed: ipt
记录日常
09-23 1万+
错误: 从网上找了各种问题还是报错,什么重启docker ,关掉防火墙,重启服务器,在另一台服务器也测试同样的,。。。搞了几个小时,暴脾气都来了。 解决办法: 服务是启动的是8081端口 我docker映射的端口是8080 要么将服务端口号改为8080,或者将映射端口改为8081 结语:找不到问题写代码都打瞌睡,与其花几个小时找问题,还解决不了,还不如找大佬问问,省时...
centos7 firewalld导致docker网络异常
leoss的博客
11-04 1万+
centos7 自带防火墙是firewalld。在某下情况下可能导致docker 的某些网络问题。 docker 有4种网络模式: 1.bridge模式 2.host模式 3.container模式 4.none模式 默认是bridge 网桥模式,docker会在宿住机配置一个虚拟网卡,并将容器连接到该网卡,而docker网络与宿住机外部网络的通信,是借助nat来实现的。所以当Iptable出现问...
iptables filter案例iptables nat应用
pcct的专栏
11-30 302
七周四次课(11月30日) 10.15 iptables filter案例iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP iptable -I是在最前面增加一条规则 -A在最后面增加一条规则 -D是删除规则 后面跟链的名字 -s 后面跟源IP -p指定协议(tcp、) –sport 源端口 -d 目标IP –dport目标端口 -j 跟行为(DOR
Linux-iptablesfilter)详解
qq_62311779的博客
06-12 5089
目录一、iptables简介 :(1)基本认识:(2) 四五链: 1、“四”是指 iptables 的功能 2、“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则中包含 多个数据链,防火墙规则需要写入到这些具体的数据链中。 3、 iptables的结构: 4、图解:​二、安装iptables服务: 三、路由转发配置: 四、filte: ——查看 filter 的详细规则—— INPUT 入站链(找我的:—— FORWAR
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
Linux 防火墙 iptables filternat.pdf
08-14
Linux 防火墙 iptablesfilter(包过滤防火墙)和 nat(路由转换)详解_linux中filternat.pdf
iptables的四五链与NAT工作原理
tinychen
02-25 2447
本文主要介绍了iptables的基本工作原理和四五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
iptables 防火墙(filter
linhaoyanglinhao的博客
08-31 289
iptables防火墙
UDP协议
hyldzbg的博客
09-04 860
把当前要计算校验和的数据,每个字节,都进行累加,把结果保存到这两个字节的变量(校验和)中,过程中溢出也没关系,如果中间某个数据,出现传输错误,第二次计算的校验和就会和第一次不同(CRC这个算法其实不是特别靠谱,比如如果前一个字节大小少1,后一个字节大小多1,那么最后得到的校验和任然相同,但是数据可能已经不同了)。描绘这个数据报的报文长度(包含报头),这里的长度是指该报文有多少个字节,因为只有16位比特位的大小,因为数据传输可能会出错,所以需要一定的方法知道所传输的数据是否正确传输。
网络第五章:多路转接
qincjun的博客
09-05 565
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
计算机网络-VRRP工作原理
Linux基础知识、计算机网络基础学习分享。
09-03 726
初始化状态就是在设备上配置完成时的状态,Master状态为主设备的状态,Nackup状态为备份设备的状态,备份设备会监听主设备发送的Advertisement报文,当定时器超时都没有收到主设备的报文时则备份设备切换为Master状态。R1与R2交换VRRP报文,优先级一样,通过比较接口IP地址选举Master路由器,由于R2的接口IP地址大于R1的接口IP地址,因此R2被选举为Master路由器。进行比较,先比较优先级,优先级大的优先,优先级相等则比较接口IP地址,IP地址大的优先,
观测云核心技术解密:eBPF Tracing 实现原理
观测云的博客
09-03 940
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1186
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
最新发布
m0_74910646的博客
09-07 532
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
iptables防火墙实战:filternat应用、扩展规则解析
"10.6章节讲解了iptables防火墙的使用,包括filter控制、扩展匹配、nat的典型应用,以及对相关知识点的总结和解答。文档通过多个案例介绍了iptables的基本管理和应用,如关闭firewalld,启用iptables服务,添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值