2. 程式人生 > >Linux之iptables(四、網絡防火墻及NAT)

Linux之iptables(四、網絡防火墻及NAT)

阿新 發佈:2018-10-26
ipad entos centos 註意 put oca -s 網絡訪問 network

網絡防火墻

  • iptables/netfilter網絡防火墻:
  • (1) 充當網關
  • (2) 使用filter表的FORWARD鏈
  • 註意的問題:
  • (1) 請求-響應報文均會經由FORWARD鏈,要註意規則的方向性
  • (2) 如果要啟用conntrack機制,建議將雙方向的狀態為ESTABLISHED的報文直接放行

NAT

  • NAT: network address translation
  • PREROUTING,INPUT,OUTPUT,POSTROUTING
  • 請求報文:修改源/目標IP,由定義如何修改
  • 響應報文:修改源/目標IP,根據跟蹤機制自動實現
  • SNAT:source NAT POSTROUTING, INPUT
  • 讓本地網絡中的主機通過某一特定地址訪問外部網絡,實現地址偽裝
  • 請求報文:修改源IP
  • DNAT:destination NAT PREROUTING , OUTPUT
  • 把本地網絡中的主機上的某服務開放給外部網絡訪問(發布服務和端口映射),但隱藏真實IP
  • 請求報文:修改目標IP
  • PNAT: port nat,端口和IP都進行修改

SNAT

  • nat表的target:
  • SNAT:固定IP
  • --to-source [ipaddr[-ipaddr]][:port[-port]]
  • --random
  • iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
[root@centos7a ~]#iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! -d 10.0.1.0/24 -j SNAT --to-source 172.16.32.6-172.16.32.10
[root@centos7a ~]#iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 
 
0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 SNAT       all  --  *      *       10.0.1.0/24         !10.0.1.0/24          to:172.20.71.105-172.20.71.110

SNAT

  • MASQUERADE:動態IP,如撥號網絡
  • --to-ports port[-port]
  • --random
  • iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE
[root@centos7a ~]#iptables -t nat -I POSTROUTING -s 10.0.1.0/24 ! -d  10.0.1.0/24 -j MASQUERADE
[root@centos7a ~]#iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 4 packets, 765 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 4 packets, 765 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      *       10.0.1.0/24         !10.0.1.0/24

DNAT

  • --to-destination [ipaddr[-ipaddr]][:port[-port]]
  • iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
[root@centos7a ~]#iptables -t nat -A PREROUTING -s 0/0 -d 172.16.32.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22
[root@centos7a ~]#iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 1 packets, 78 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            172.32.20.6          tcp dpt:22 to:10.0.1.22
[root@centos7a ~]#iptables -t nat -A PREROUTING -s 0/0 -d 172.16.32.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:80
[root@centos7a ~]#iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            172.18.100.6         tcp dpt:80 to:10.0.1.22:80

PNAT:利用虛擬端口進行數據轉發

轉發

  • REDIRECT:
  • NAT表
  • 可用於:PREROUTING OUTPUT 自定義鏈
  • 通過改變目標IP和端口,將接受的包轉發至不同端口
  • --to-ports port[-port]
[root@centos7a ~]#iptables -t nat -A PREROUTING -d 172.16.32.6 -p tcp --dport 80 -j REDIRECT --to-ports 8080
[root@centos7a ~]#iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            172.16.100.10        tcp dpt:80 redir ports 8080

Linux之iptables(四、網絡防火墻及NAT)

相關推薦

Linuxiptables(防火NAT)

ipad entos centos 註意 put oca -s 網絡訪問 network 網絡防火墻 iptables/netfilter網絡防火墻: (1) 充當網關 (2) 使用filter表的FORWARD鏈 註意的問題: (1) 請求-響應報文均會經由

iptables詳解(11):iptables防火

允許 什麽 模塊 進行 通訊 usr accep 屬於 兩個 我們一起來回顧一下之前的知識,在第一篇介紹iptables的文章中,我們就描述過防火墻的概念,我們說過,防火墻從邏輯上講,可以分為主機防火墻與網絡防火墻。 主機防火墻:針對於單個主機進行防護。 網絡防火墻:

linux防火-iptables基礎詳解(重要)

lte 目前 targe udp 安全 們的 tina 設計 常見 一:前言   防火墻,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中,防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底

Linux防火iptables實戰

src bsp 1.4 防火 images static 應用 img acer 前言: 本文主要著重講解Linux的基於網絡層的防火墻的安全架構,實現流程,以及常見的iptables一些實際應用。 Linux的網絡防火墻iptables實戰

ArcGIS 分析[4] 數據集深入淺出連通性數據集的屬性轉彎要素

我只 三方 功能 如何使用 網絡數據 block 性問題 網絡 屬性 前面介紹完了如何創建網絡數據集、如何使用網絡分析功能,當然還有的讀者會迷惑於一些更深層次的問題,比如網絡數據集的連通性問題等。 因為不可能面面俱到,我只能挑重點來闡述,我覺得網絡數據集的連通性、屬性和轉

Linux 124課程 11管理

網絡1、解釋計算機網絡的基本概念  TCP/IP 四層協議     應用層 HTTP FTP CIFS SSH  傳輸層 端口號 TCP/UDP   網絡層 IPv4和IPv6 ipv4 32bit  數據鏈路層 MAC地址 4

Linux(十配置

c11 name 域名 gateway div idt 環境 4.4.2 外網 14.1 Linux網絡配置原理圖(含虛擬機) 目前我們的網絡配置采用的是NAT。 14.2 查看網絡IP和網關 14.2.1 查看虛擬網絡編輯器 14.2.

Linuxiptables(六rich規則)

允許 permanent -- 生效 基本 最大 ipv6 strong tables 其它規則 當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則 rich-rules 富規則,功能強,表達性語言 Direct configuration

python學習第31天異常處理編程part1

spa 物理 常用 else 第一步 inpu peer 軟件開發者 要求 一,異常處理 1. 什麽是異常處理 異常是錯誤發生的信號,一旦程序出錯就會產生一個異常,如果該異常 沒有被應用程序處理,那麽該異常就會拋出來,程序的執行也隨之終止 異常包含三個部

[Swift通天遁地]和線程-(2)通過BlockOperation實現線程的隊列

resources ati tar 顯示 數據存儲 cgrect cnblogs try color 本文將演示線程隊列的使用,使用線程隊列可以依次執行一系列的任務。 在項目導航區,打開視圖控制器的代碼文件【ViewController.swift】 現在開始編寫代碼,

[Swift通天遁地]和線程-(4)使用Alamofire實現請求

value 查看 .com per create 項目文件 warning spa print 本文將演示如何使用第三方庫實現網絡請求服務。 首先確保在項目中已經安裝了所需的第三方庫。 點擊【Podfile】,查看安裝配置文件。 1 source ‘https:/

[Swift通天遁地]和線程-(11)將服務器返回的JSON映射為實例對象

add ide location set 寫代碼 pod 點擊 Language man 本文將演示使用第三方類庫中,將服務器返回的JSON映射為實例對象。 首先確保在項目中已經安裝了所需的第三方庫。 點擊【Podfile】,查看安裝配置文件。 1 platfor

[Swift通天遁地]和線程-(15)程序內購功能

resource war setup 安裝第三方 標識符 trie any demo 應該 本文將演示使用開源類庫往項目中添加內購功能。內購功能需要在真機上進行測試。 內購是蘋果市場上的一種常見的盈利模式。 首先確保在項目中已經安裝了所需的第三方庫。 點擊【Podfi

4.iptables 防火

配置 port 示例 添加 sport sshd eject 臨時 iptables [1] #如果想要iptables作為網絡防火墻,iptables所在主機開啟核心轉發功能,以便能夠轉發報文。 [2] #使用如下命令查看當前主機是否已經開啟了核心轉發,0表示為開啟,1

Zabbix():高級應用--宏發現測試實例

zabbix1.宏(Macros) 宏可以理解為一個用於文本替換模式的預設文本內容; 宏根據一系列預定義的規則替換一定格式的文本模式,一般情況下,解釋器或編譯器在遇到宏時會自動進行文本模式替換; 類似的,Zabbix可以基於宏保存預設文件模式,並且在需要時調用替換其中文件內容; Zabbix中的宏的作用域:

跟阿銘學linux二配置IP問題排查

配置IP 網絡問題排查 安裝完操作系統後,點擊重啟,進入Centos 7操作系統命令行界面,如圖所示: 出現如上界面,說明我們的第一個Centos 7操作系統已經完成了。接下來,輸入用戶名 root ,密碼為上一節課設置的密碼,就可以完成登陸。登陸成功界面如下: 完成登陸後,我就接下來要做的工作就是設

python功能模組psutil------ Linux效能(CPU磁碟記憶體卡)監控

採集系統的基本效能資訊包括CPU、記憶體、磁碟、網路等,可以完整描述當前系統的執行狀態及質量。psutil模組已經封裝了這些方法,使用者可以根據自身的應用場景,呼叫相應的方法來滿足需求,非常簡單實用。 (1)CPU資訊 Linux作業系統的CPU利用率有以下幾個部分:

Python操作Excel異常處理編程

方法 ssi request 對象的引用 深拷貝 code text 索引超出 編號 知識補充: 1.falsk模塊中一些方法總結 import flask from flask import request,jsonify server = flask.Flask(_

Linux內核project導論——:Filter(LSFBPFeBPF)

linux內核 空間使用 自己 ket iat cls number 那種 機制 概覽 LSF(Linux socket filter)起源於BPF(Berkeley Packet Filter)。基礎從架構一致。但使用更簡單。LSF內部的BP

Android異步載入學習筆記:利用緩存優化載入圖片ListView載入優化

角度 thread 下午 出發 easy code cat height back 假設不做不論什麽處理。直接用網絡載入圖片在網速快的情況下可能沒什麽不好的感覺。可是假設使用移動流量或是網絡不好的時候。問題就來了,要麽用戶會抱怨流量使用太多。要麽抱怨圖