2. 程式人生 > >七周四次課 iptables filter表案例以及iptables nat表應用

七周四次課 iptables filter表案例以及iptables nat表應用

阿新 發佈:2018-03-23
iptables filter表 iptables nat表

iptables小案例
將80端口,22端口和21端口放行,22端口需要指定IP段,只有指定IP段訪問才可以。其他段一概拒絕。
我們可以用一個腳本來實現。

#!/bin/bash
ipt="/usr/sbin/iptables"
ipt是定義了一個變量,如果要執行命令,要寫全局絕對路徑,這樣在腳本當中才不會因為環境變量問題導致命令無法執行。所以以後路寫shell腳本時一定要寫全局絕對路徑。我們來定義一個變量,目的就是後面有許多的地方要加載它,如果寫很長一段命令會很繁瑣。所以我們要定義一個變量,用變量去代替他,這樣看起來就更加的簡單。
我們沒有參數-t,所以針對的是filter表。

$ipt -F(首先清空以前的規則)

$ipt -P INPUT DROP (INPUT 丟掉包)
$ipt -P OUTPUT ACCEPT (OUTPUT 允許包)
$ipt -P FORWARD ACCEPT (FORWARD 允許包)

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT(添加規則,放行前面的狀態。特別是RELATED和ESTABLISHED這兩個狀態,是保持通信的重要狀態。所以一定要加上)

$ipt -A INUPT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT(添加規則,放行)

$ipt -A INUPT -P tcp --dport 80 -j ACCEPT(80端口數據包放行)
$ipt -A INUPT -P tcp --dport 21 -j ACCEPT(21端口數據包放行)

完整腳本
#! /bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

然後我們執行sh /usr/local/sbin/iptables.sh這條命令,然後再執行
iptables -nvL進行查看
[root@linletao-001 ~]# sh /usr/local/sbin/iptables.sh^C
[root@linletao-001 ~]# iptables -nvL
Chain INPUT (policy DROP 46 packets, 46326 bytes)
pkts bytes target prot opt in out source destination
115 8552 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- 192.168.133.0/24 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 84 packets, 15048 bytes)
pkts bytes target prot opt in out source destination
這時我們發現數值已經在增加了,而且各端口也都添加完成。只有22端口是指定IP段訪問,80和21端口沒有指定源,任何ip都能訪問。

icmp示例
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
上面這條命令會產生一個效果

[root@linletao-001 ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP

[root@linletao-001 ~]# ping 163.com
PING 163.com (123.58.180.8) 56(84) bytes of data.
64 bytes from 123.58.180.8 (123.58.180.8): icmp_seq=1 ttl=56 time=42.1 ms
64 bytes from 123.58.180.8 (123.58.180.8): icmp_seq=2 ttl=56 time=42.2 ms
64 bytes from 123.58.180.8 (123.58.180.8): icmp_seq=3 ttl=56 time=42.1 ms
^C
--- 163.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 42.158/42.178/42.209/0.169 ms

就是ping外網的時候可以ping通,但是ping本機就ping不通了,但是不通不代表不能連接,我僅僅是將它做了一個禁ping而已,你可以ping出去,但是外面ping不進來。

所以, iptables -I INPUT -p icmp --icmp-type 8 -j DROP這條命令就是不讓別人ping通你的命令,將icmp的8中類型DROP掉就可以實現目的了。

iptables nat表應用
nat表應用

需求1:A機器兩塊網卡ens33(192.168.133.130外網網卡)、ens37(192.168.100.1內網網卡),ens33可以上外網,ens37僅僅是內部網絡,B機器只有ens37(192.168.100.100),和A機器ens37可以通信互聯。兩個IP可以相互ping通。最終讓第二臺設備通過第一臺設備連接外網(將第一臺設備變成一個路由器)

首先我們要準備兩臺機器
給第一臺機器添加一個網卡
技術分享圖片

添加完網卡後我們點擊完成。
技術分享圖片
然後點擊虛擬網絡。它的意思是把這個網卡連接到一個內網交換機上,這樣的話我們這臺機器和另一臺機器連上同一個內網交換機,他們兩者通信就可以了。

技術分享圖片
然後我們點擊虛擬網絡,然後添加一個全局虛擬網絡,這個虛擬網絡的名字是可以自定義的。然後我們點擊選擇我們剛才添加的虛擬網絡。

技術分享圖片
然後我們給第二臺機器也添加一個網卡,步驟和第一臺添加網卡一樣,然後在虛擬網絡中選擇我們剛才在第一臺機器創建的虛擬網絡。這兩臺機器必須選擇同一個虛擬網絡。第一臺機器的網卡咱們不用去動,我們可以繼續遠程連接,但是第二臺機器的網卡因為沒有windows可以連接的IP,所以我們沒有辦法遠程連接。

    我們先查看第一臺機器的網卡

[root@linletao-001 ~]# ifconfig
ens33(第一臺設備的網卡): flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.105 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::df71:e49:bd9a:8b3 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:52:5a:0f txqueuelen 1000 (Ethernet)
RX packets 117 bytes 37648 (36.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 94 bytes 10825 (10.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ens33:0(第一臺設備的虛擬網卡): flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.150 netmask 255.255.255.0 broadcast 192.168.1.255
ether 00:0c:29:52:5a:0f txqueuelen 1000 (Ethernet)

ens37(我們新添加的網卡): flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::51f5:e552:314f:c5b1 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:52:5a:19 txqueuelen 1000 (Ethernet)
RX packets 7 bytes 2394 (2.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 34 bytes 5572 (5.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
我們現在要給ens37這個網卡設置一個IP,我們可以命令行添加IP,也可以配置文件添加IP。配置文件添加IP和虛擬網卡設置IP一樣,只要復制一份虛擬網卡配置文件,將裏面的IP和netmask修改就可以了,其他不用修改。

還有一種就是通過命令來設置IP,我們就用ens37這個網卡做個例子。ifconfig ens37 192.168.100.1/24,它的IP是192.168.100.1,網段為24網段。這樣可以手動命令行設置IP。
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.100.255
inet6 fe80::20c:29ff:fe52:5a19 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:52:5a:19 txqueuelen 1000 (Ethernet)
RX packets 94 bytes 32148 (31.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 269 bytes 47146 (46.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
這樣我們就將ens37的IP設置好了。但是這個IP重啟後就消失了,如果想永久有效,最好去設置配置文件。

由於另一臺設備不能遠程連接,所以我們只能在本機上操作。先給ens37配置IP。ifconfig ens37 192.168.100.100/24技術分享圖片

這樣,第二臺設備的網卡IP我們也配置好了。
然後我們ping一下第一臺設備的IP
技術分享圖片

可以ping通,說明沒有問題。這樣我們的準備工作就完成了。

如果想要第二臺設備可以聯外網。
首先要在第一臺設備上打開路由轉發,如果想用nat表和網絡轉發,我們需要修改內核參數。
/proc/sys/net/ipv4/ip_forward這個文件的默認是“0”。如果是“0”,則表示它沒有打開內核轉發。
[root@linletao-001 ~]# cat /proc/sys/net/ipv4/ip_forward
0
然後我們要將它的內容改成“1”。 echo "1">/proc/sys/net/ipv4/ip_forward
[root@linletao-001 ~]# cat /proc/sys/net/ipv4/ip_forward
1
這樣,我們就打開了內核端口轉發。

第二步,添加一條iptables規則
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
然後我們查看一下剛添加的規則
[root@linletao-001 ~]# iptables -t nat -nvL

Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ens33 192.168.100.0/24 0.0.0.0/0
這條規則就是想讓192.168.100.100能上網。

第三步,第二臺設備要設置網關。
首先,我們先查看一下第二臺設備的網關。
命令是route -n
技術分享圖片
然後給他設置網關,設置完後再查看技術分享圖片

這樣,第二臺設備的網關就設置好了。

然後我們ping一下第一臺設備的網卡
技術分享圖片

發現可以ping通,這就意味著他可以和外網通信了。

然後我們給他設置一下DNS
技術分享圖片
然後保存退出。
再ping一下119.29.29.29
技術分享圖片

ping這個網關就證明外網也可以ping通了。我們再來ping一下外網。
技術分享圖片

也ping通了。

需求2:端口映射
第一臺設備跳轉到第二臺設備
首先還是打開端口轉發
echo "1">/proc/sys/net/ipv4/ip_forward

然後增加iptables規則,在增加之前,我們先將以前的規則刪掉,以免影響我們下一步的操作。
iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

然後增加兩條規則
iptables -t nat -A PREROUTING -d 192.168.1.105 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22(這條命令是將進去的包進行一個操作)
iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.1.105(這條命令是將出去的包進行一個操作)

然後給B機器增加網關
技術分享圖片

然後新建會話,將會話的名字設置為test100,主機名為192.168.1.105,端口為1122
技術分享圖片

然後連接,可以遠程登錄了。
技術分享圖片

[root@linletao-001 ~]# w
00:03:46 up 1:57, 2 users, load average: 0.01, 0.03, 0.03
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 22:06 12:10 0.16s 0.16s -bash
root pts/0 192.168.1.102 23:58 2.00s 0.01s 0.00s w
而且它的源是從我們的windows中來的。

七周四次課 iptables filter表案例以及iptables nat表應用

相關推薦

iptables filter案例以及iptables nat應用

iptables filter表 iptables nat表 iptables小案例將80端口,22端口和21端口放行,22端口需要指定IP段,只有指定IP段訪問才可以。其他段一概拒絕。我們可以用一個腳本來實現。 #!/bin/bashipt="/usr/sbin/iptables"

LiNUX20180509(5月9日)IPTABLES

iptables nat七周四次課(5月9日)10.15 iptables filter表案例10.16/10.17/10.18 iptables nat表應用擴展1. iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html2. sa

Python學習——(12月7日)

add cas 存儲 創建 不存在 數字 bin 集合體 內容 七周四次課(12月7日)13.12/13.13 memcache常用方法 存儲命令: set/add/replace/append/prepend/cas獲取命令: get/gets其他命令: delete

(1月25日)

內網 設置 sta img 網卡 ipv out tor 外網 七周四次課(1月25日)10.15 iptables filter表案例需求 80 22 21端口放行 22端口需要指定一個ip段ipt 定義一個變量-F 清空原有規則-P 默認規則-m state --sta

linux(3月22日)

linux 筆記 七周四次課(3月22日)10.15 iptables filter表案例10.16/10.17/10.18 iptables nat表應用 擴展 iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html s

iptables filter nat 10.15 iptables filter表案例 iptables小案例 vi /usr/local/sbin/iptables.sh //加入如下內容 #! /bin/bash ipt="/usr/sbin/iptables" $ipt -F $ipt -

2018.5.8 (firewalld和netfilter,iptables語法)

Linux網絡相關 firewalld和netfilter 防火墻 netfilter5表5鏈介紹 iptables語法 Linux網絡相關 centOS版本6裏,如果想用ifconfig 得安裝個net-tools [root@localhost ~]# yum install

重要 添加 有一個 first 命令 port bin 腳本批量 warn 20.31 expect腳本同步文件 在一臺機器上把文件同步到多臺機器上 自動同步文件 #!/usr/bin/expect set passwd "123456" spawn rsync -av

(1月22日)

查看 load swap 服務 系統 cto 運行 用戶 oss 七周一次課(1月22日)10.1 使用w查看系統負載w直接在終端登陸的 用戶TTYload average 系統負載 1分鐘 5分鐘 15分鐘 系統負載 單位時間內使用cpu活動的進程平均個數 cpu是

(1月23日)

gif 優先 bbs 擴展信息 相關 三次握手 process not lis 七周二次課(1月23日)10.6 監控io性能iostat -xiostat -x 1%util 磁盤等待io 數字大,磁盤讀寫等待過長iotop動態顯示 根據磁盤iodb數據庫示例10.7

(1月24日)

nbsp linux網絡相關 all 51cto tables mil white .com normal 七周三次課(1月24日)10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 ipta

(1月26日)

tmp sys nes rest 模板 color mark load 關於 七周五次課(1月26日)10.19 iptables規則備份和恢復service iptables save 會把規則保存到/etc/sysconfig/iptablesiptables-save

(3月5日)

linux十周四次課(3月5日)11.22 訪問日誌不記錄靜態文件vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf<VirtualHost :80>DocumentRoot "/data/wwwroot/123.com"

監控系統狀態命令

監控系統狀態監控系統狀態作為一名運維工程師,我們一定要了解我們的系統,如果出現問題,我們要查看哪裏出了問題,有什麽樣的癥狀。如果我們要查看系統資源耗費情況。需要怎樣查看呢?[root@localhost ~]# w20:44:47(當前時間) up 7 min,(啟動多長時間) 1 user,(幾個用戶登錄

linux(3月19日)筆記

linux 筆記 七周一次課(3月19日)10.1 使用w查看系統負載10.2 vmstat命令10.3 top命令10.4 sar命令10.5 nload命令 10.1 使用w查看系統負載 最主要看系統負載值。 10.2 vmstat命令 每一秒鐘顯示一次。按C終止掉。 每一秒鐘顯示五次。 10.3

io監控 free ps 抓包 查看網絡狀態

ps free io性能監控 網絡狀態 監控io性能(磁盤性能監控) 在日常運維的工作中,我們不僅要關註cpu,內存之外,磁盤的io也是重要指標之一。有時候cpu和內存都有剩余,但是系統的負載還是很高,用vmstat查看發現b列或者wa列比較大,那說明系統磁盤有瓶頸,那我們就要更詳細的去查看磁

Linux學習筆記第(3月19日)

w vmstat top sar nload 10.1 使用w查看系統負載10.2 vmstat命令顯示狀態,每一秒一次,共5次,命令為#vmstat 1 5r,run表示運行;b,block表示阻塞,阻止;swpd,虛擬內存,若這個值大於0,表示內存不夠用;si磁盤輸入虛擬內存;so虛擬

Linux學習筆記第(3月21日)

iptables netfilter INPUT OUTPUT ifconfig 10.11 Linux網絡相關ifconfig -a可以顯示禁止或down掉的網卡;啟動網卡#ifup ens33;禁掉網卡#ifdown ens33;網卡配置文件 /etc/sysconfig/networ

十三

linux十三周四次課(3月22日)13.1 設置更改root密碼13.2 連接mysql13.3 mysql常用命令 13.1 設置更改root密碼設置更改root密碼目錄概要/usr/local/mysql/bin/mysql -uroot更改環境變量PATH,增加mysql絕對路徑mysqladmin

十三(3月22日

linux十三周四次課(3月22日)13.1 設置更改root密碼1.設置root密碼mysqladmin -uroot password '123456' #設置mysql的root密碼為123456mysql -uroot -p123456 #登錄mysql2.更改密碼mysqladmin