iptables是Linux下的防火墙,可以进行数据包的过滤,在网络层进行数据的转发、拦截或丢弃等,使用非常普遍,功能也非常强大。但是Mac下没有iptables,为了实现流量转发和过滤,要使用到Mac自带的PFctl。PFctl即control the packet filter,是Unix LIKE系统上进行TCP/IP流量过滤和网络地址转换的系统,也能提供流量整形和控制等,详情可以见PF防火墙。
数据转发分两种情况,流入数据的转发和流出数据的转发,网络上大部分的使用例子都是如何对流入数据进行转发,搜索很久才发现如何通过pfctl进行流出数据的转发,故此记录一下,mac系统为10.11.2。
需要实现的功能如下:
1.将流入数据的端口从80转发到8080
2.将本地发往192.168.1.8:80的数据丢弃
3.将本地发往192.168.1.6:80的数据转发到192.168.1.7:8080
使用sudo或者进入root模式(sudo -i)
1.本次开机生效:
sudo sysctl -w net.inet.ip.forwarding=1
sudo sysctl -w net.inet6.ip6.forwarding=1
开启启动配置:
创建文件/etc/sysctl.conf, 内容如下:
net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
2.查看当前端口转发功能状态:
sysctl -a | grep forward
3.配置PF过滤功能:
创建配置文件/etc/pf.anchors/http,内容为:
流入端口转发
rdr pass on en0 inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080
rdr pass on lo0 inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080
流出数据丢弃
block drop out proto tcp from any to 192.168.1.8 port 80
流出数据转发(1.将特定数据流从en0->lo0, 2.将lo0的数据进行转发)
rdr pass log on lo0 proto tcp from any to 192.168.1.6 port 80 -> 192.168.1.7 port 8080
pass out on en0 route-to lo0 proto tcp from en0 to 192.168.1.6 port 80 keep state
4.校验/etc/pf.anchors/http配置是否正确
sudo pfctl -vnf /etc/pf.anchors/http
5.将配置添加到主配置文件
修改/etc/pf.conf,相同指令要放在一起
在 rdr-anchor "com.apple/*" 下添加
rdr-anchor "http-forwarding"
在 load anchor "com.apple" from "/etc/pf.anchors/com.apple" 下添加
load anchor "http-forwarding" from "/etc/pf.anchors/http"
6.开启pf服务
sudo pfctl -ef /etc/pf.conf
或则
sudo pfctl -E
7.关闭pf服务
sudo pfctl -d
363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
