php zhxing iptables,KVM使用NAT联网并为VM配置iptables端口转发

最新推荐文章于 2023-04-12 13:56:48 发布
最新推荐文章于 2023-04-12 13:56:48 发布
阅读量288 收藏 2
点赞数 1
文章标签: php zhxing iptables

KVM使用NAT联网并为VM配置iptables端口转发

[https://www.ilanni.com/?p=7016]

1-1. KVM为VM配置NAT网络

我们可以通过如下命令,查看NAT是否开启。如下:

virsh net-list

0f951660c9295247f6a529203c50f9dd.png

通过上图,我们可以看到NAT方式已经开启。而且default是宿主机安装VM支持模块的时候自动安装的。

1-2. 我们也可以查看,系统中已经存在的网卡。

ifconfig

5eb83d3e48e8f01a378c42d29e892933.png

通过上图,我们可以看出网卡virbr0就是NAT方式连接网络时,所使用到的网卡

1-3. 通过配置文件,来查看NAT方式的DHCP地址池,该配置文件为:/etc/libvirt/qemu/networks/default.xml

cd /etc/libvirt/qemu/networks/

pwd

more default.xml

7f2b826c8f11902db8f7068cef3496a7.png

通过上图我们可以看出,目前NAT使用的IP地址池是192.168.122.2-192.168.122.254,网关为192.168.122.1,子网掩码为255.255.255.0

1-4. 创建虚拟机时如下命令

qemu-img create -f qcow2 /home/images/kvm31.img 20G

virt-install --name kvm31 --ram 2048 --vcpus=2 --os-type=windows --accelerate --cdrom=/home/ios/zh-Hans_windows_web_server_2008_x64_dvd_x14-26154.iso --disk path=/home/images/kvm31.img,format=qcow2,bus=ide --network network=default --video=vga --vnc --vncport=5931 --vnclisten=0.0.0.0 --force --autostart

其中

--network network=default   //就是指默认网络配置default.也就是这里的NAT

同时有关硬盘的格式与接口模式也一定要注意

--disk path=/home/images/kvm31.img,format=qcow2,bus=ide

1-5. 默认情况下VM此时使用的DHCP方式获取IP地址,可以ping www.baidu.com 可以通.

这边以kvm11 [192.168.122.159] 为例

ssh root@192.168.122.159

cd /etc/sysconfig/network-scripts

ls

cat ifcfg-eth0

dc6871398f86f3f9c5c6c0922f6380f8.png

f924ec79b2764eaf8bc4ec25551cdc6c.png

如果你在安装系统时未进行网络配置。我们现在修改VM使用静态IP地址

ssh root@192.168.122.159

vi /etc/sysconfig/network-scripts/ifcfg-eth0

BOOTPROTO=static             //以前是dhcp

ONBOOT=yes                   //以前是no

IPADDR=192.168.122.159

GATEWAY=192.168.122.1

NETMASK=255.255.255.0

7fd1c374c06b865e6185126e1e2b0853.png

systemctl restart network.service

2598e1ec34bbdec0bc35fffc5e9e5a7a.png

就发现已经ping www.baidu.com 不通了.

1-6. 现在切换到KVM服务器[是笔记本,不是kvm11],开启KVM服务器的IP转发功能

vi /etc/sysctl.conf

增加以下代码

net.ipv4.ip_forward=1      // [也可换成 echo net.ipv4.ip_forward=1>>/etc/sysctl.conf ]原本是 net.ipv4.ip_forward=0 ,可是我这台没有这条.不知道为什么

15e7e8898ff078f27bc436f31a1c9c1c.png

sysctl -p

43b91c5f6d7060f134bf566672e22732.png

1-7. 我们还要开启KVM服务器的IPtables的转发功能,使用如下命令:

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

注意该命令中的网卡时br0,而不是eth0

1-8. 此时,我们再切换VM[kvm11]中测试的网络通信情况。如下:

发现ping www.baidu.com 不通,但 ping 182.61.200.7 能通

88a32c7b51970783ddc5b0898c7fd12d.png

1-9. 解决 name or service not known

虚拟机[kvm11]

vi /etc/resolv.conf

nameserver 8.8.8.8

nameserver 8.8.4.4

systemctl restart network.service

351021239bb0c2b19e68981e46a0d5b9.png

eb14c1a179b43f55578253dfc08f00ff.png

2. 为VM配置iptables端口转发

假设该KVM的公网IP为192.168.50.146,VM的IP为192.168.122.159,现在我要求通过访问KVM的8022端口访问VM的22端口

要想达到上述功能,我们需要在KVM服务器上[笔记本上]设置如下IPtables规则:[https://www.cnblogs.com/whych/p/9147900.html]

iptables -t nat -A PREROUTING -d 192.168.50.146 -p tcp -m tcp --dport 8022 -j DNAT --to-destination 192.168.122.159:22

iptables -t nat -A POSTROUTING -s 192.168.122.255/255.255.255.0 -d 192.168.122.159 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.50.146

注意这两条IPtables规则:

第一条规则很好理解,就是把所有访问192.168.50.146:8022的请求转发到192.168.122.159:22的端口上。

第二条规则我的理解是,把所有来自192.168.122.0/255.255.255.0网段访问192.168.122.159:22的数据全部通过192.168.122.1这个网关转发出去。

现在我们来实际效果,如下:

ssh -p 8022 root@192.168.50.146

发现一打开就被关闭.是被防火墙阻止了.

2-2. 打开防火墙

systemctl start firewalld.service

firewall-cmd --zone=public --add-port=5901-6100/tcp --permanent  //添加一个端口5901-6100

firewall-cmd --zone=public --add-port=8022/tcp --permanent       //添加一个端口8022

firewall-cmd --zone=public --add-port=873/tcp --permanent        //添加一个端口873

firewall-cmd --zone=public --add-port=80/tcp --permanent         //添加一个端口80

firewall-cmd --zone=public --add-port=443/tcp --permanent        //添加一个端口443

firewall-cmd --reload                                            //重新加载规则

firewall-cmd --list-port                                         //列出添加的端口

代码分析

--zone #作用域

--add-port=1935/tcp    //添加端口,格式为:端口/通讯协议

--permanent            //永久生效,没有此参数重启后失效

fbcab431df9fbabef0509800e5577526.png

最后一步不知道怎么处理,就是没成功.

3423362427d8af7afdd5f7d41882d86f.png

清空规则

sudo iptables -P INPUT ACCEPT

sudo iptables -P OUTPUT ACCEPT

sudo iptables -F

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT                                     //ssh

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT                                                              //http

sudo iptables -I INPUT 1 -i lo -j ACCEPT                                                                        //保持彼此之间的通信--[成功]

sudo iptables -P INPUT DROP                                                                                      //INPUT链的默认规则更改

weixin_39853843
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
访问KVM宿主机IP指定端口,跳转到虚拟机IP指定端口的方法
sunyongye的博客
01-15 5238
操作系统:centos7u3 KVM宿主机:10.18.41.223:8000 vm: 192.168.122.4:22 vm连网模式:NAT 要求:通过ssh访问10.18.41.223:8000最终跳转到192.168.122.4:22 一、准备好vm,虚拟网络接口使用NAT 注:vm在默认NAT模式已能ping通外网,虚拟机在启动时已在iptables 已在nat表配SNAT规则。
prokvm 云服务器管理系统基于proxmox ve 云管理系统
weixin_47787310的博客
06-05 4550
prokvm 云服务器管理系统 Prokvm®是基于Proxmox VE 全功能虚拟化平台开发的云服务器管理计费系统(php+mysql),支持公有云计费(按固定带宽、按流量/小时扣费、按流量包套餐计费)和私有云管理以及桌面云解决方案。支持一键开通、管理kvm虚拟机和LXC虚拟机。默认对接支持宝塔虚拟主机管理开通使用 更多功能请安装体验 https://bbs.xmbillion.com/thread-3.htm ...
linux kvm 虚拟机 nat 网络 iptables 宿主机端口转发到虚拟机
李在奋斗的博客
04-30 2800
linux kvm 虚拟机 nat 网络 iptables 宿主机端口转发到虚拟机 我安装了kvm,并使用vmbuilder在服务器上设置了多个guest虚拟机。这是以下配置: server host1 (xxx.xxx.xxx.xxx) -> guest vm1 (192.168.122.203) -> guest v...
PVE相关的各种一键脚本(一键安装PVE)(一键开设KVM虚拟化的NAT服务器-自带内外网端口转发)
最新发布
spiritLHL的博客
04-12 2631
PVE相关的各种一键脚本(一键安装PVE)(一键开设KVM虚拟化的NAT服务器-自带内外网端口转发)-2023-支持Debian8+系统-纯一键脚本,小白可用,无需Linux基础
KVM虚拟机禁止上网(路由转发)
墨痕诉清风的博客
09-07 549
禁止路由转发即可(临时) echo 0 > /proc/sys/net/ipv4/ip_forward
iptables+NAT专题学习(kvm+VMware)
tiging的博客
03-24 5128
iptables基础操作(必学) ## 查看规则 iptables -nL iptables -nL -t nat iptables -nL -v --line-numbers -t filter 表filter带行号带流量数据 iptables -nL --line-numbers 带行号 ## 删除指定表指定链的指定行数据 iptables -t nat -D POSTROUTING 1 iptables -D FORWARD 7 -t filter ## 清空所有规则【...
基于phpkvm管理软件,KVM使用第三方软件可视化管理
weixin_29384119的博客
03-26 246
1. 服务器环境规划 操作系统 IP地址 主机名 备注Centos7.6 192.168.10.10 KVM-Node12. 环境准备2.1 查看当前系统版本[root@KVM-Node1 ~]# hostnamectl2.2 关闭selinux[root@KVM-Node1 ~]# sed -i '/SELINUX=/cSELINUX=disabled' /etc/selinux/config[...
php 管理kvm虚拟机,KVM教程(3)修改KVM虚拟机配置教程
weixin_30433715的博客
03-21 217
KVM支持对已有虚拟机配置进行修改,如磁盘大小、CPU、内存大小等。在/etc/libvirt/qemu目录下可以看到多个xml文件,每一个xml文件都是虚拟机的配置信息,通过修改这个文件就可以修改虚拟机的配置。需要注意的是修改xml文件后需要重启虚拟机才会生效,官方推荐是使用virsh edit命令来对文件进行编辑,该命令执行后的效果其实和使用VI打开差不多,如果配置文件有错的话会进行提醒,如下...
KVM虚拟化(web界面设置)
weixin_46106069的博客
05-10 3011
1.kvm虚拟化介绍 虚拟化分类: 1、虚拟化,是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互相不影响,从而显著提高计算机的工作效率。 虚拟化使用软件的方法重新定义划分 IT 资源,可以实现 IT 资源的动态分配、灵活调度、跨域共享,提高 IT 资源利用率,使 IT 资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求。 2、虚拟化层次种类: (1) 完全虚拟化 — 最流行
kvm 部署三个虚拟机实现 WordPress 实验
weixin_34095889的博客
11-05 287
一、kvm 简介kernel-based Virtual Machine的简称,是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理,所以相对于Xen,其核心源码很少。KVM目前已成为学术界的主流VMM之一。KVM的虚拟化需要硬件支持(如Intel VT技术或者AMD V技术)。是...
利用主机端口转发实现对QEMU虚拟机的访问
li_jiejun的专栏
09-20 6694
作  者:郝庆丰 领 域:QEMU   适宜读者:QEMU及虚拟化相关开发人员 背景知识:虚拟化基础知识,QEMU基础知识 正文: 利用主机端口转发实现对QEMU虚拟机的访问 命令 选项:hostfwd 详细描述:hostfwd=[tcp|udp]:[hostaddr]:hostport-[guestaddr]:guestport 该选项可以把虚拟机端口guest_port映射...
ubuntu服务器修改保存文件,Ubuntu Server 如何永久保存iptables的设置?
weixin_32589387的博客
08-09 2867
iptables是Linux操作系统常用的netfilter防火墙规则的管理指令。对于刚接触iptables的用户来说,经常会不知道该如何把用iptables设置好的防火墙规则进行「存盘」,让它在下次开机时也可以保留上一次开机所设置的规则。事实上,不同的Linux发行版有不同的iptables的保存方式,本篇文章将会介绍Ubuntu Server的iptables保存方式。iptables范例我们...
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1035
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
linux 防火墙 iptables 命令详解
探索者的博客
03-08 5262
上述的iptables命令示例可以帮助管理员学习如何使用iptables命令来保护不同服务。是Linux操作系统上的一个防火墙工具,它可以控制进入、离开、转发的数据流,是Linux服务器安全性的重要保障。这个命令将iptables规则保存到文件中,以后可以通过cat命令查看或加载这些规则。这两条命令将允许SSH流量的进入,但拒绝来自特定IP地址的连接。这条命令将允许一个特定的IP地址来访问服务器的端口。这个命令会清空之前iptables定义的所有规则。这条命令将删除之前添加的规则。
关于 KVM 虚拟网络配置 NAT 与 Bridge
Hello World!
10-14 4872
http://www.linuxidc.com/Linux/2012-05/61445p2.htm
kvm+nat+iptables
ztejiagn的专栏
04-02 1825
使用kvm虚拟化后,如果我们虚拟机使用的是nat模式,那么我们的虚拟机是可以访问外网,但是呢?外网无 法直接访问到我们内网虚拟机,这种情况下,我们就得在宿主机器里面做端口映射,允许外面访问我们虚拟 机的20、21、22、80、1433、3306、3389,还有ftp的被动端口;在linux下我们使用iptables来达到目的. 废话少说,来个实战! 准备描述: 宿主系统:ubuntu 12.10
防火墙 iptables input accept
wumingchao_1993的博客
08-10 4797
chwling2008.blog.sohu.com/265396232.html
kvm虚拟机端口映射(端口转发)到宿主机
学亮编程手记
12-27 3927
kvm中新建的虚拟机使用NAT网络上网。需要把端口映射到宿主机上,通过本地的iptables即可实现。 添加相应的iptables策略: 添加filter 表的forward链 iptables -I FORWARD -m state -d 192.168.122.0/24 --state NEW,RELATED,ESTABLISHED -j ACCEPT 添加nat 表的prerouting链 iptables -t nat -I PREROUTING -p
kvm虚拟机端口映射
weixin_33842328的博客
11-17 1563
kvm中新建的虚拟机使用NAT网络上网。需要把端口映射到宿主机上,通过本地的iptables即可实现。 添加相应的iptables策略: 添加filter 表的forward链 iptables -I FORWARD -m state -d 192.168.122.0/24 --state NEW,RELATED,ESTABLISHED -j A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值