iptables地址转换以及访问控制

已于 2023-10-24 09:23:09 修改
阅读量97 收藏
点赞数
分类专栏: Linux运维 文章标签: 服务器 运维 web安全 网络安全 linux 1024程序员节
于 2023-10-13 18:05:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/133812322
版权

网络地址转换

文章目录


SNAT

  • 源地址转换

    • 共享IP地址上网

DNAT

  • 目的地址转换

公网地址无法指向私网地址

源地址转换

SNAT 策略

SNAT 策略的典型应用环境,局域网主机共享单个公网IP 地址接入Internet。

SNAT 策略的原理:

  • 源地址转换,Source Network Address Translation;
  • 把内网主机所发送的IP 数据包的源地址,修改成网关路由器的公网出口网卡的IP 地址。

静态外网地址

前提条件:

  • 局域网各主机正确设置了IP 地址/子网掩码;
  • 局域网各主机正确设置了默认网关地址;
  • Linux 网关支持IP 路由转发。

实现方法:

iptables -t nat -I POSTROUTING -p all -o ens35 -j SNAT --to-source 10.10.10.21

动态外网地址

地址伪装:

  • 适用于外网地址非固定的情况。
  • 对于ADSL 拨号链接,接口通常为ppp0、ppp1。
  • 将SNAT 规则改为MASQUERADE。

实现方法:

iptables -t nat -I POSTROUTING -o ens35 -j MASQUERADE

目标地址转换

DNAT策略

iptables -t nat -I PREROUTING -d 10.4.7.4 -i ens33 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.100:80

内网的web服务外网想要访问

那么外网地址 访问web服务的外网地址的80端口

那么经过DNAT转换就会在web服务的外网网关上自动转换为web服务的内网地址

案例

1配置SNAT 让2016 和SRV1 能上外网iptables -t nat -I POSTROUTING -p all -s 0.0.0.0/0 -o ens33 -j SNAT --to-source 10.4.7.4
在这里插入图片描述

2配置DNAT 让2016 访问网关8080 端口 实际上访问的是1.200 的8080 上的tomcat iptables -t nat -I PREROUTING -d 192.168.1.254 -i ens37 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.100:8080
blog.csdnimg.cn/ec83b279d5cd4334b3399deec7e78033.png)
在这里插入图片描述

在这里插入图片描述

抠脚大汉在网络
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables拦截域名_iptables基于域名的访问控制
weixin_39958631的博客
12-20 1585
安装dnsmasq[root@route-a ~]# wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.70.tar.gz[root@route-a ~]# tar zxvf dnsmasq-2.70.tar.gz[root@route-a ~]# cd dnsmasq-2.70[root@route-a ~]# make install查看d...
两小时玩iptables
10-05
而Security表则提供了MAC层的访问控制iptables的规则通过命令行工具添加,基本语法包括指定链、规则条件和动作。例如, `-A` 命令用于追加规则,`-I` 用于在指定位置插入规则,`-R` 用于替换规则,而`-D` 用于...
Linux使用iptables限制多个IP访问你的服务器
01-20
前言 在Linux内核上,netfilter是负责数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等功能的一个子系统,这个子系统包含一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables是一个管理netfilter的工具。 多个连续IP操作 1、拆分成多条命令运行 iptables -A INPUT 192.168.122.2 -j ACCEPT iptables -A INPUT 192.168.122.3 -j ACCEPT iptables -A INPUT 192.168.122.4 -j ACCEPT iptables -A INPUT 19
iptables配置——NAT地址转换
StamHe的专栏
01-29 3422
iptables配置——NAT地址转换http://hi.baidu.com/gaocher/blog/item/fe66d0ee08940a3727979100.html  iptables nat 原理同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则把从外来的访问重定向到其他的机子上,比如
iptables基于域名的本机流量控制
Jack_he_li的博客
01-04 1649
iptables+ipset根据域名配置流量控制前言一、iptables配置二、使用步骤1.引入库2.读入数据总结新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 公司内网服务器,上面跑了几个程序(爬虫,每天定时从几个
iptables 实现地址转换安全控制
weixin_33973609的博客
11-04 186
    目标:模拟生产环境的基本拓扑,实现通过源地址转换内网多台主机公共一个IP地址访问互联网,并通过目标地址转换,把www等多个服务器放到互联中,并实现安全控制,基本拓扑结构如下: 在这个拓扑结构中来说,就是局域网中的机器都可以访问互联网中的Web1,局域网中的机器也可以访问Web2与内部FTP(电脑配置有限以www为例),外部的Web1看做客户端也可以访问Web2,并实现对访问进行一些控...
Linuxiptables访问控制
tiny_du的博客
07-04 1692
以下适用于centos7系统 iptables常用的有三个表,五个规则链 filter表:INPUT RORWARD OUTPUT (主机过滤) nat表: PREROUTING INPUTOUTPUT POSTROUTING (网络地址转换)F mangle表:PREROUTING INPUT FO...
iptables配置3.pdf
10-30
iptablesLinux系统中的一种强大的网络访问控制工具,它基于netfilter框架实现,主要负责在网络数据包进入、离开或穿过系统时执行过滤和转换操作。iptable的规则集存放在内核空间的几个不同表中,这些表分别有不同...
第十九章:iptables高级应用1
08-08
iptables高级应用】主要涉及两种关键技术:SNAT(源地址转换)和DNAT(目的地址转换),它们在网络安全服务器发布中起到至关重要的作用。 **一、SNAT地址转换** 1. **原理**:SNAT是在iptables的`nat`表的`...
Linux基础课件-iptables安装与启动.pptx
11-02
SELinux是一种强制访问控制机制,可能会阻止iptables的某些操作。若要临时关闭SELinux,可使用`setenforce 0`命令,但重启后会恢复原设置。要永久关闭SELinux,需编辑`/etc/selinux/config`文件,将`SELINUX=...
防火墙 iptables 禁止某个域名访问
热门推荐
长门有希的博客
05-10 1万+
-I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP 禁止 包含qq.com的域名访问
配置限制访问ip的iptables实例
weixin_34226706的博客
04-01 701
公司有一个平台要提升安全力度,几位老大开会研究了半天得出的结论是“放弃了阿里云的slb而改用了自建的nginx来代替slb”,这个时候就需要运维人员在这台nginx上做iptables,现在公司的出口ip有60.191.94.118-120和60.12.11.48四个地址,而且需要开放的端口是80和443,于是乎在nginx的交互窗口里,我们就需要输入如下的语句:iptabl...
android iptables解析dns forward_iptables基于域名的访问控制 访问限定网站
weixin_39847437的博客
11-27 810
需求分析:在实际的生产环境中,比如超市、商场、便利店等,POS机相关的支付或者牵扯到金钱相关的设备,是不允许上网的。连接用于达到支付的目的。但是局域网内的网络设备只能放行某些ip,提供服务的厂商至提供域名的服务.这样就需要这些POS设备访问指定的域名来完成支付,其他的域名屏蔽掉,不允许它访问。解决方案:dnsmasq+ipset+iptablesiptables一般只能对ip的访问控制,如果做域名...
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 631
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
【qt】TCP的监听 (设置服务器IP地址和端口号)
qq_74047911的博客
07-07 226
当一个TCP服务器程序启动时,它会绑定到一个特定的IP地址和一个端口号上,以便可以接收来自该IP地址和端口号的传入连接请求.我们是从下拉框选的,都是QString类型,我们要进行转换.端口号可以自己设置,范围在0~65535也就是两个字节.但是0~1024一般不可以设置,操作系统用了已经.所以我们要先来获取主机的IP地址和设置端口号.TCP监听是在自己的IP地址上进行的。(),参数是ip地址和端口号.()来获取服务器的ip地址。()来获取服务器的地址.协议,我们需要使用到。获取到主机的IP地址。
服务器提交记录有Merge branch消除
最新发布
绿色落日的博客
07-10 176
背景:在共同开发分支release上,你提交了commit,push到服务器上时,发现有人先比你push了,所以你得先pull, 后再push,然而pull后自动产生了一个Merge branch的一个commit,这个commit本身没有任何提交内容,而你直接push到服务器上了,于是服务 器产生了这样的commit log,想要消除服务器上的这条Merge commit,那么可以尝试下面的方法。可以rebase到以前的commit id上,然后:wq保存后,就会消除,再强制提交到服务器覆盖掉。
转发服务器实验
qq_65017742的博客
07-06 425
【代码】转发服务器实验。
Linux】进程的基本概念(以及进程地址空间的初步了解)
EWIAW_ilove的博客
07-10 602
根据书本上的概念来解释,一个运行起来被加载到内存中)的程序称为进程。光这样一句话很难体会到什么是进程,所以我们来展开讲一下。上面的问题,我们先放一放,我们来解释一下什么是地址空间。在学习C/C++的时候,应该都见过这个图,为什么这个图叫做C/C++的内存分布,而不是内存条的内存分布?那既然有C/C++的内存分布,那是不是说明还有其他语言的内存分布,为什么同一块内存条上,不同的语言会有不同的内存分布呢?那是因为这个C/C++内存分布其实是虚拟地址,这个内存分布的地址不是真实的,这个虚拟地址就叫做。
LinuxIptables使用资料(整理).docx
12-16
Iptables是内置于现代Linux内核中的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制能力。相较于传统的商业防火墙,iptables是开源且免费的,能够实现数据包的过滤、重定向和网络地址转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值