iptables(NAT)

最新推荐文章于 2024-05-14 07:34:16 发布
最新推荐文章于 2024-05-14 07:34:16 发布
阅读量1.7k 收藏 6
点赞数
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49888561/article/details/130956423
版权

nat: 网络地址转换
DNAT: 目标地址转换,一般用于对外发布服务
SNAT: 源地址转换,一般用于实现内网机器上网 --- 静态
MASQUERADE: 地址伪装 ---动态的SNAT
REDIRECT: 重定向 ---改变的是端口

SNAT:实现内网的主机上网

相当于内网访问公网。

配置方法 :

 

内网机器:

内网机器网关GATEWAY为192.168.10.11

防火墙:

对内网卡IP为192.168.10.11

对外网卡IP为180.15.16.17

在防火墙中打开路由转发功能:

echo 1 >  /proc/sys/net/ipv4/ip_forward(临时,重启网卡失效)

永久配置

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p #重新加载配置文件

设置SNAT

iptables -t nat -A POSTROUTING  -s 192.168.10.0/24 -j SNAT --to 180.15.16.17
如果访问外网ip不是一直固定的,则可以使用下面的配置
iptables -t nat -A POSTROUTING  -s 192.168.10.0/24 -j  MASQUERADE

DNAT对外发布服务:

服务器在内网中,访问的是网关对外的ip

 配置方法:

web服务器GATEWAY配置为192.168.10.11

防火墙对内IP192.168.10.11

对外IP180.15.16.17

打开路由转换功能

DNAT配置

iptables -t nat -A PREROUTING  -p tcp --dport 80 -j DNAT --to 192.168.10.11

将web服务器改为8080,要求客户端通过80端口仍能正常访问:

iptables -t nat -A PREROUTING  -p tcp --dport 80 -j DNAT --to 192.168.10.11:8080

DNAT + Filter:

需求:对外发布ftp服务 

分析:

1.对外发布ftp服务:

管理连接和数据连接

管理连接是21号端口(DNAT)

数据连接分为主动连接和被动连接

被动连接是客户端去连接服务器(DNAT)

主动连接是服务器通过20号端口主动向客户端建立连接(SNAT)

被动连接:客户端通过21号端口与服务器建立管理连接,通过管理连接向服务器发送pasv指令告诉服务器采用被动连接方式,此时服务器开放一个随机端口响应客户端。

由于客户端不能访问内网中的真实的ftp服务器,只能访问到防火墙,需把服务响应给防火墙上的公网ip客户端才能正常访问。

在ftp服务器上配置 pasv_address=180.15.16.17(防火墙公网ip)

还需配置响应端口的范围。

pasv_min_port=8001

pasv_max_port=9000

主动连接:客户端通过21号端口与服务器建立管理连接,向服务器发送port指令,服务器通过20号端口向客户端建立连接。

配置:

ftp服务器:GATEWAY设置为192.168.10.11

防火墙:

对内IP为192.168.10.11  对外IP为180.15.16.17

打开路由转发

被动模式配置:iptables -t nat -A PREROUTING -p tcp -m multiport --dports 21,8001:9000 -j DNAT --to 192.168.10.13

主动模式配置:iptables -t nat -A POSTROUTING -p tcp --sport 20 -j SNAT --to 180.15.16,17

需求:仅管理机(180.15.10.10)通过2221端口SSH连接到ftp服务器

iptabls -t nat -A PREROUTING -s 180.15.10.10 -p tcp --dport 2221 -j DNAT --to 192.168.10.13:22(端口映射)

防火墙本机仅允许管理机(180.15.10.10)连接,. 所有客户都能正常访问业务。

iptables -A INPUT -s 192.168.10.1 -j ACCEPT  (放行自己连接)

iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -j DROP

iptables -t filter -A OUTPUT -j DROP

iptables -t filter -A FORWARD -j DROP 

iptables -I INPUT -s 180.15.10.10 -p tcp --dport 22 -j ACCEPT  (放行管理机访问防火墙)

iptables -t filter -I FORWARD -s 180.15.10.10 -p tcp --dport 22 -j ACCEPT

iptables -t filter -I FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -I FORWARD -p tcp -m multiport --dport 21,8001:9000 -j ACCEPT(被动)

iptables -t filter -I FORWARD 3 -p tcp -m tcp --sport 20 -j ACCEPT (主动)

啵啵噜噜
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptablesnat的配置与管理
12-29
iptablesnat的配置与管理,对于iptables的配置与管理都有一定的基础。
iptables 详解(NAT)
changexhao的专栏
10-24 5808
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
使用iptables进行NAT转发
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
2024年最新[Linux用户空间编程-5]:用IPTable实现NAT功能_iptable nat,看这篇文章就行了
最新发布
2401_85013273的博客
05-14 675
netfilter是Linux 核心中一个通用架构,它提供了一系列的"表"(tables),每个表由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组 成。并且系统缺省的**表是"filter"。**因为系统缺省的表是"filter",所以在使用filter功能时,我们没有必要显式的指明"-t filter"。但在使用NAT的时候,我们所使用的表不再是"filter",而是"nat"表,所以我们必须使用**"-t nat**"选项来显式地指明这一点。
iptables端口转发配置实现
C3399的博客
06-11 1万+
一、iptables简介 二、iptables端口转发实现 三、iptables端口转发实现过程的坑
iptables
bie961208的博客
12-06 305
yum search iptables yum install iptables-services.x86_64 -y systemctl stop firewalld.service    ##停止火墙 systemctl mask firewalld.service    ##冻结火墙 一、相关概念 Iptables 利 用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 488
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
linux下设置iptables实现NAT功能
04-14
linux下设置iptables实现NAT功能
iptables的代码实现nat
03-21
iptables 的代码实现 NAT iptablesLinux 操作系统中的一个强大的防火墙工具,它可以实现防火墙、NAT、路由等功能。在本文中,我们将重点介绍如何使用 iptables 实现 NAT 功能。 一、NAT 的基本概念 NAT...
一个iptables的stateless NAT模块实现
12-27
但是想做PAT为何不使用现有的iptables实现呢?它可以自动为你解决元组唯一性问题。不要从概念上分析,事实上,static双向NAT是完全对称的,一对一的 ,也只有在BOX两边的网络在拓扑级别是完全对等的情形下,这种NAT...
iptables.docx
06-11
利用iptables实现局域网设备上网。同时利用iptables实现外网端口映射内网服务。
Linux系统之iptables应用SNAT与DNAT
ZHUZIH6的博客
02-19 1894
SNAT与DNAT原理及应用,详细实验过程;对比SNAT与DNAT区别;介绍iptables规则的备份与还原以及使用tcpdump抓包
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
IPtables详解:
姚某人的博客
06-04 1167
IPtables:简介: iptablesIPtables:命令参数: IPtables:实例:
linux防火墙之iptablesNAT
qinwunan的博客
05-31 927
防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。
iptables之SNAT与DNAT
稻香的博客
06-05 856
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
iptables实现nat方式的流量转发
GLOBE TREKKER
03-25 3457
NAT可以方便的完成这种流量穿通功能,即把外网数据通过NAT(中转设备)来穿透进内网,内网数据通过NAT(中转设备)穿透出外网。 那linuxiptables如何实现nat转发?这里将以Debian7主机下的测试为例。 1、开启IP_FORWARD 1 2 3 vi /etc/sysctl.conf #在文件末添加以下一行(如已有则不必...
iptables nat及端口映射
精诚所至
02-27 1万+
iptables 应用初探(nat+三层访问控制)iptables 是一个Linux 下优秀的nat +防火墙工具,我使用该工具以较低配置的传统pc 配置了一个灵活强劲的防火墙+nat系统, 小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables 同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要...
iptables nat 端口转发
11-03
其中,nat表是iptables中的一个重要表,用于实现网络地址转换(NAT)功能。端口转发是NAT的一种应用,它可以将来自外部网络的请求转发到内部网络的指定端口上,从而实现内网服务对外提供访问的功能。iptables nat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值