前面写了一个环境搭建的,下面把拓扑图再拿出来,方便查看。
filter表操作
1.我想禁用PC过来的所有ICMP包(即ping),有两种思路,在进来之前就干掉这个包(在INPUT链上操作),在返回的时候干掉返回包(在OUTPUT链上操作)。
在INTPUT链上操作
iptables -t filter -A INPUT -p ICMP -s 192.168.1.2 -j DROP
或者在OUTPUT链上操作
iptables -t filter -A OUTPUT -p ICMP -d 192.168.1.2 -j DROP
以上就可以拦截从PC出来的ping 包了。就这么简单。
上面两条命令的区别:
| INPUT链 | OUTPUT链 |
|---|---|
| 对源地址进行控制 -s | 对目的地址进行控制 -d |
| 在进网关应用层之前就干掉了,节省CPU资源 | 网关产生的应答包被拦截 |
| 一般不要的包都会直接在INPUT链上操作直接丢弃 | 有时候需要做日志记录,就需要在INPUT链上做日志,在OUTPUT链上丢弃 |
NAT表操作
操作前说明
默认状态下,linux系统不会转发数据包,也就是说如果想把网卡A收到数据包转到网卡B。不好意思,linux发现不是自己的包,是会直接丢弃的。所以要把转发特性打开。
echo 1 >> /proc/sys/net/ipv4/ip_forward
打开了转发特性后,发现PC可以ping通外网服务器了。
但是现实的需求往往是,需要用NAT转换,把PC的IP地址给隐藏起来。这个时候就要用到SNAT或DNAT了。
关于SNAT和DNAT,网上蛮多解释,但是有时候还是很难理解。我从应用的角度来解释:
SNAT:源地址NAT,就是要把内网(源)的地址转换为外网地址。
目的是一个公网IP同时映射多个私网IP。实现一对多的绑定。实现原理简单的说就是用源端口来做映射。映射关系如下图举例
DNAT:目的地址NAT,为了外网的某一特定数据包转发给内网某一特定主机。
实现SNAT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
