翼度科技»论坛 云主机 LINUX 查看内容

iptables、共享上网SNAT、端口转发DNAT

10

主题

10

帖子

30

积分

新手上路

Rank: 1

积分
30
iptables、共享上网SNAT、端口转发DNAT

1.防火墙概述

封端⼝,封ip
实现NAT功能
共享上⽹
端⼝映射(端⼝转发),ip映射
2.防火墙

2.1防火墙种类以及使用说明

硬件:整个企业入口
软件:开源软件 网站内部 封ip
iptables
云防火墙
安全组
NAT网关
waf应用防火墙
2.2专有名词

容器、表、链、规则
2.3iptables执行过程

1.防⽕墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进⾏过滤的。
2.如果匹配成功规则,即明确表示是拒绝(DROP)还是接收(ACCEPT)数据包就不再向下匹配新的规则
3.如果规则中没有明确表明是阻⽌还是通过的,也就是没有匹配规则,向下进⾏匹配,直到匹配默认规则得到明确的阻⽌还是通过。
4.防⽕墙的默认规则所有规则都匹配完才会匹配的
2.4表与链

iptables 是 4表伍链
4表: filter 表 nat表 raw表 mangle表
伍链: INPUT  OUTPUT FORWARD  PREROUTING  POSTROUTING
1.filter表
实现防火墙功能:屏蔽或准许端口ip

2.nat表
实现nat功能:实现共享上网 端口映射和ip映射

2.5环境准备及命令

先关闭防火墙
  1. systmectl stop firewalld
  2. systemctl disable firewalld
复制代码
1.安装并启动
  1. yum install iptables-services
  2.    
  3. systemctl enable iptables
  4. systemctl start iptables
复制代码
2.设置开机自启防火墙相关模块
  1. cat >>/etc/rc.local<<EOF
  2. modprobe ip_tables
  3. modprobe iptable_filter
  4. modprobe iptable_nat
  5. modprobe ip_conntrack
  6. modprobe ip_conntrack_ftp
  7. modprobe ip_nat_ftp
  8. modprobe ipt_state
  9. EOF
  10. lsmod | egrep 'filter|nat|ipt'
复制代码
5.server02设置iptables
  1. [root@localhost ~]# iptables -nL
  2. Chain INPUT (policy ACCEPT)
  3. target     prot opt source               destination         
  4. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  5. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
  6. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
  7. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
  8. REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  9. Chain FORWARD (policy ACCEPT)
  10. target     prot opt source               destination         
  11. REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  12. Chain OUTPUT (policy ACCEPT)
  13. target     prot opt source               destination   
复制代码
6.测试
  1. [root@localhost ~]# iptables -t nat -nL
  2. Chain PREROUTING (policy ACCEPT)
  3. target     prot opt source               destination         
  4. Chain INPUT (policy ACCEPT)
  5. target     prot opt source               destination         
  6. Chain OUTPUT (policy ACCEPT)
  7. target     prot opt source               destination         
  8. Chain POSTROUTING (policy ACCEPT)
  9. target     prot opt source               destination
复制代码
5.端口转发DNAT

在上述snat基础上增加一台机器server03
1.server02添加prerouting规则
  1. [root@localhost ~]# iptables -F
  2. [root@localhost ~]# iptables -X
  3. [root@localhost ~]# iptables -Z
  4. [root@localhost ~]# iptables -nL
  5. Chain INPUT (policy ACCEPT)
  6. target     prot opt source               destination         
  7. Chain FORWARD (policy ACCEPT)
  8. target     prot opt source               destination         
  9. Chain OUTPUT (policy ACCEPT)
  10. target     prot opt source               destination   
复制代码
2.server03测试
  1. iptables -t filter -I INPUT -p tcp --dport 22122 -j drop
复制代码
来源:https://www.cnblogs.com/xuxuxuxuxu/p/17675867.html
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

举报 回复 使用道具