2. 程式人生 > >LiNUX20180509七周四次課(5月9日)IPTABLES

LiNUX20180509七周四次課(5月9日)IPTABLES

阿新 發佈:2018-05-10
iptables nat

七周四次課(5月9日)

10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表應用

擴展
1. iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.htmlhttp://jamyy.us.to/blog/2006/03/206.html



iptables filter表案例

技術分享圖片



技術分享圖片

技術分享圖片

-ipt是定義變量,這樣不用每次都寫絕對地址,以後寫shell腳本的時候最好寫據對路徑

首先要把之前的規則清空,所以 -F

然後默認的策略定義 INPUT -DROP OUTPUT- ACCEPT FORWARD -ACCEPT

接著 添加規則 -A ,指定了狀態是 related和established的,針對這些狀態的數據放行。這一行主要是保證保持連接的狀態。related是一個邊緣的狀態,沒有這個的話,有可能其他的被禁掉了。這一行必須有。

接下裏是把192.168.133.0/24網段的訪問22端口的放行

然後是把80和21端口數據放行


iptables [-t 表名] <-A|I|D|R> 鏈名[規則編號] [-i|o 網卡名稱] [-p 協議類型] [-s 源IP地址|源子網] [--sport 源端口號] [-d 目標IP地址|目標子網] [--dport 目標端口號] <-j 動作>

技術分享圖片

寫腳本的目的就是連續操作,因為中間的某些操作有可能會斷掉連接無法繼續操作。


iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允許被ping

iptables -I INPUT -p icmp --icmp-type 8 -j DROP 這個就是不允許被ping 但是可以ping外面


需要將service iptables restart後才能去操作icmp

操作完之後的效果就是iptables -I INPUT -p icmp --icmp-type 8 -j DROP 可以ping出去 其他ping不了它

技術分享圖片


技術分享圖片



iptables nat表應用 1


技術分享圖片

首先需要給虛擬機1新做一個網卡

技術分享圖片

技術分享圖片

然後給虛擬機2新建一個網卡,因為本身的網卡已經設置好IP等所以可以取消它啟動時連接,第二塊網卡也使用lan區段。也就是說想完成這個實驗(一臺機器一網卡內網,一個外網,另一個機器網卡內網,但是想上網)必須倆內網網卡在一個區段,使用同一個交換機。因為第二個虛擬機的網卡已經變化了,所以遠程連接已經不行了。

技術分享圖片

技術分享圖片


技術分享圖片

接下來要給虛擬出來的網卡設定一個ip ens37

可以ifconfig 網卡 ip 來臨時指定ip 如果想永久保存要修改配置文件

技術分享圖片

接著給另一臺機器設置內網ip,因為沒有辦法登陸遠程,只能直接從機器登陸,為了保險,ifdown再去關閉第一塊網卡。

技術分享圖片

使用同樣的命令 ifconfig 網卡 192.168.100.100/24,而且可以ping通之前那個機器的第二個內網網卡。這樣前提條件都已經滿足了。

技術分享圖片


iptables nat表應用(中)


準備工作已經就緒, 準備做實驗。

技術分享圖片

首先A機器上需要打開路由轉發 echo "1">/proc/sys/net/ipv4/ip_forward

默認 /proc/sys/net/ipv4/ip_forward這個文件的值是0,就意味著沒有開啟路由轉發。

技術分享圖片

技術分享圖片

然後需要添加規則,實現上網。iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE 目的就是讓100.0的網段上網。

技術分享圖片

然後給b機器設置網關。

192.168.100.1

route -n 查找網關,目前是沒有網關的。

技術分享圖片

設置網關 route add default gw 192.168.100.1

技術分享圖片

B網卡可以pingA的外網ip就成功了。

技術分享圖片然後理論上就可以連接外網了。

註意的幾點:

1. A需要一個網卡連接外網,一個內網,B的內網網卡和A的內網在一個網段

2. A的內網IP作為B的內網網卡的網關來提供上網。

其實就是實現了一個路由器的功能



技術分享圖片

遠程登陸B機器,通過映射到A機器的其他端口來實現。就是說訪問A的1122端口,實際上訪問的是B的22端口


第一步還是打開端口轉發

第二步增加規則。在這時候需要先將之前的規則刪除。

技術分享圖片

此時的nat表是空的

技術分享圖片

第二步需要加規則,prerouting這個就是把進來的包,轉發到100.100:22

技術分享圖片

第三部是 回來的包,經過A機器再做一個

iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.202.123


第四部給B機器加網關

這時候應該就可以遠程訪問B機器了

LiNUX20180509七周四次課(5月9日)IPTABLES

相關推薦

LiNUX2018050959IPTABLES

iptables nat七周四次課(5月9日)10.15 iptables filter表案例10.16/10.17/10.18 iptables nat表應用擴展1. iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html2. sa

Python學習——127

add cas 存儲 創建 不存在 數字 bin 集合體 內容 七周四次課(12月7日)13.12/13.13 memcache常用方法 存儲命令: set/add/replace/append/prepend/cas獲取命令: get/gets其他命令: delete

125

內網 設置 sta img 網卡 ipv out tor 外網 七周四次課(1月25日)10.15 iptables filter表案例需求 80 22 21端口放行 22端口需要指定一個ip段ipt 定義一個變量-F 清空原有規則-P 默認規則-m state --sta

linux322

linux 筆記 七周四次課(3月22日)10.15 iptables filter表案例10.16/10.17/10.18 iptables nat表應用 擴展 iptables應用在一個網段 http://www.aminglinux.com/bbs/thread-177-1-1.html s

Linux20180502 六52

sed 練習 六周第四次課(5月2日)復習 擴展打印某行到某行之間的內容http://ask.apelearn.com/question/559 sed轉換大小寫 http://ask.apelearn.com/question/7758 sed在某一行最後添加一個數字http://ask.apelearn.

122

查看 load swap 服務 系統 cto 運行 用戶 oss 七周一次課(1月22日)10.1 使用w查看系統負載w直接在終端登陸的 用戶TTYload average 系統負載 1分鐘 5分鐘 15分鐘 系統負載 單位時間內使用cpu活動的進程平均個數 cpu是

123

gif 優先 bbs 擴展信息 相關 三次握手 process not lis 七周二次課(1月23日)10.6 監控io性能iostat -xiostat -x 1%util 磁盤等待io 數字大,磁盤讀寫等待過長iotop動態顯示 根據磁盤iodb數據庫示例10.7

124

nbsp linux網絡相關 all 51cto tables mil white .com normal 七周三次課(1月24日)10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 ipta

126

tmp sys nes rest 模板 color mark load 關於 七周五次課(1月26日)10.19 iptables規則備份和恢復service iptables save 會把規則保存到/etc/sysconfig/iptablesiptables-save

linux319筆記

linux 筆記 七周一次課(3月19日)10.1 使用w查看系統負載10.2 vmstat命令10.3 top命令10.4 sar命令10.5 nload命令 10.1 使用w查看系統負載 最主要看系統負載值。 10.2 vmstat命令 每一秒鐘顯示一次。按C終止掉。 每一秒鐘顯示五次。 10.3

Linux學習筆記第319

w vmstat top sar nload 10.1 使用w查看系統負載10.2 vmstat命令顯示狀態,每一秒一次,共5次,命令為#vmstat 1 5r,run表示運行;b,block表示阻塞,阻止;swpd,虛擬內存,若這個值大於0,表示內存不夠用;si磁盤輸入虛擬內存;so虛擬

Linux學習筆記第321

iptables netfilter INPUT OUTPUT ifconfig 10.11 Linux網絡相關ifconfig -a可以顯示禁止或down掉的網卡;啟動網卡#ifup ens33;禁掉網卡#ifdown ens33;網卡配置文件 /etc/sysconfig/networ

Linux學習筆記第323

iptables-save iptables-restore systemctl firewalld firewall-cmd 10.19 iptables規則備份和恢復備份保存,#iptables-save > ipt.txt恢復, #iptables-restore <

linux321筆記

linux 筆記 七周三次課(3月21日)10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 iptables語法 擴展(selinux了解即可) selinux教程 http://os.51cto.com/art/

linux323

linux七周五次課(3月23日)10.19 iptables規則備份和恢復10.20 firewalld的9個zone10.21 firewalld關於zone的操作10.22 firewalld關於service的操作 10.19 iptables規則備份和恢復 備份,命令如下iptables規則可以備

Linux學習筆記十二426

nginx防盜鏈 nginx訪問控制 Nginx解析php相關配置 Nginx代理 12.13 Nginx防盜鏈防盜鏈,就是禁止其他網址鏈接到本網站圖片文本等資源;vim /usr/local/nginx/conf/vhost/test.com.conf //server中添加以下信息----

linux十四周514

linux 筆記 十四周四次課(5月14日)16.1 Tomcat介紹16.2 安裝jdk16.3 安裝Tomcat 16.1 Tomcat介紹 16.2 安裝jdk 打開下載網址。 點擊jdk=8u144-linux-x64.tar.gz ,下載 傳到linux ctrl+F打開xftp 把下載的文

第二19

國內 water 更換 刪掉 vpd con 下載源碼 .com 擴展 五周第二次課(1月9日)7.6 yum更換國內源首先刪除上節課的dvd,並將配置文件copy回來wget未找到命令,借用curl安裝這時候再查看配置文件7.7 yum下載rpm包yum install

Linux學習筆記十四周一59

NFS介紹 NFS服務端安裝 NFS客戶端安裝 14.1 NFS介紹14.2 NFS服務端安裝配置服務端安裝nfs-utils和rpcbind;客戶端只安裝nfs-utils#yum install -y nfs-utils rpcbind#vim /etc/exports /home/nfste

226 11.1 LAMP架構介紹 11.2 MySQL、MariaDB介紹 11.3/11.4/11.5 MySQL安裝 擴展 mysql5.5源碼編譯安裝

when image safe x86 lease x86_64 roc use my.cnf 11.1 LAMP架構介紹11.2 MySQL、MariaDB介紹11.3/11.4/11.5 MySQL安裝擴展mysql5.5源碼編譯安裝 http://www.amin