2. 程式人生 > >使用iptables將內網ftp服務對映到其他內網伺服器上

使用iptables將內網ftp服務對映到其他內網伺服器上

阿新 發佈:2018-12-07

使用iptables將內網ftp服務對映到其他內網伺服器上
iptables一般的只需要關注兩個表,一個是nat表,一個是filter表,其他表暫時用不到,然後nat表裡有三個鏈,filter表裡有三個鏈,總結兩個表,五個鏈

入站資料流向:資料包到達防火牆後首先被PREROUTING鏈處理(是否修改資料包地址等),然後進行路由選擇(判斷資料包發往何處),如果資料包的目標地址是防火牆本機(如:Internet使用者訪問閘道器的Web服務埠),那麼核心將其傳遞給INPUT鏈進行處理(決定是否允許通過等)。

轉發資料流向:來自外界的資料包到達防火牆後首先被PREROUTTING鏈處理,然後再進行路由選擇;如果資料包的目標地址是其他的外部地址(如區域網使用者通過閘道器訪問QQ伺服器),則核心將其傳遞給FORWARD鏈進行處理(允許轉發,攔截,丟棄),最後交給POSTROUTING鏈(是否修改資料包的地址等)進行處理。

出站資料流向:防火牆本機向外部地址傳送的資料包(如在防火牆主機中測試公網DNS服務時),首先被OUTPUT鏈處理,然後進行路由選擇,再交給POSTROUTING鏈(是否修改資料包的地址等)進行處理。

下面實驗下看看:
環境說明:vmware下兩臺虛擬機器,
192.168.255.129上搭建了ftp服務,被動模式,21為控制埠,1023至65535隨機出現數據埠
192.168.255.131作為NAT伺服器
目的將129的ftp服務其對映到192.168.255.131上的指定埠
準備工作,使129的閘道器地址為131
刪除預設閘道器地址 : route delete default gw 閘道器ip(我這裡是192.168.255.2)
新增預設閘道器地址: route add default gw 192.168.255.131

1.首先確保一點,192.168.255.129的閘道器地址為192.168.255.131,否則129有多個出口,二者無法關聯對映
131要做的工作:去掉firewalld服務,關閉selinux,啟用iptables服務,129無所謂,關閉firewalld和selinux就行了
systemctl stop firewald.service && sudo systemctl disable firewald.service
yum install iptables-services iptables-devel -y
systemctl enable iptables.service && sudo systemctl start iptables.service

2.開啟131的網絡卡轉發功能
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -p

3.131上設定允許255過來的網段進行地址偽裝,也就是129到達之後,可以用131為源地址進行"外網”的訪問,(要不要這條配置無所謂,只是為了讓129可以上外網)
iptables -t nat -A POSTROUTING -s 192.168.255.0/24 -j MASQUERADE

4.131上設定DNAT,將去往166埠的請求轉發到129的21埠,131上可以不用開166埠,他自己會轉發,理論上166埠的包到達pre鏈就直接轉給了129的21埠,根本沒有到達131自己的INPUT鏈,所以不需要放行131INPUT鏈的166埠
iptables -t nat -I PREROUTING -p tcp -d 192.168.255.131 --dport 166 -j DNAT --to 192.168.255.129:21

5.131上開啟ftp核心模組追蹤相關資料埠
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
lsmod | grep ftp 有東西表示成功

6.接下來訪問測試看看?成功了
使用iptables將內網ftp服務對映到其他內網伺服器上

7.通訊詳細流程
客戶端訪問192.168.255.131:166,這時候先經過131的prerouting鏈,判斷是DNAT規則,將目的地址修改為192.168.255.129:21,經由路由選擇,判斷不是進入本機的資料包,而是轉發包,傳遞給forward鏈進行處理(這裡沒有規則,預設許可),經由postrouting鏈(這裡源ip是客戶端ip仍舊沒變,只允許255網段的修改源ip),最後轉發到129,129處理結束之後(沒開iptables),源ip為129,目的ip為客戶端ip,由於設定了閘道器地址,所以129的回包直接到達131,經由PREROUTING鏈(這裡直接通過),根據路由選擇,判斷不是到本機的,核心將其傳遞給FORWARD鏈進行處理(預設允許),再經由POSTROUTING鏈將源IP也就是129,修改為131的外網口地址(如果有外網口,這裡就是131,通過iptables可以指定,如果是外網口就必須要指定SNAT,如果像這裡,可以不用指定SNAT),最後源ip是131,目的地址客戶端ip,返回給客戶端。

相關推薦

使用iptablesftp服務對映其他伺服器

iptables一般的只需要關注兩個表,一個是nat表,一個是filter表,其他表暫時用不到,然後nat表裡有三個鏈,filter表裡有三個鏈,總結兩個表,五個鏈 入站資料流向:資料包到達防火牆後首先被PREROUTING鏈處理(是否修改資料包地址等),然後進行路由選擇(判斷資料包發往何處),如果資料包的

iptables案例:iptablesweb服務對映到外

iptables把內網web服務對映到外網 背景和原理 左邊為機器A,右邊為機器B。B有兩塊網絡卡,一塊和A在一個區域網,一塊可以連外網。A外網不通。 下面希望外網的使用者可以訪問A機器提供的

使用iptablesftp服務映射到其他服務

type 路由選擇 -- stop 局域網 一點 需要 grep system iptables一般的只需要關註兩個表,一個是nat表,一個是filter表,其他表暫時用不到,然後nat表裏有三個鏈,filter表裏有三個鏈,總結兩個表,五個鏈 入站數據流向:數據包到達防火

使用ngrok本地Web服務對映到外

一條命令解決的外網訪問內網問題,本地WEB外網訪問、本地開發微信、TCP埠轉發。 官網地址:https://www.ngrok.cc/ 第一步:開通隧道 平臺登陸地址:http://www.n

使用ngrok快速地本地Web服務對映到外

為什麼要使用ngrok? 作為一個Web開發者,我們有時候會需要臨時地將一個本地的Web網站部署到外網,以供它人體驗評價或協助除錯等等,通常我們會這麼做: 找到一臺運行於外網的Web伺服器伺服器上有網站所需要的環境,否則自行搭建將網站部署到伺服器上除錯結束後,再將網站從

個人電腦變成伺服器,使用ngrok本地Web服務對映到外

1、什麼是ngrok。 ngrok 是一個反向代理,通過在公共的端點和本地執行的 Web 伺服器之間建立一個安全的通道。ngrok 可捕獲和分析所有通道上的流量,便於後期分析和重放。 2、為什麼要使

Mac 使用ngrok本地Web服務對映到外

最近開發後臺各種除錯很不方便所以打算將自己電腦作為伺服器對映到外網。 1.到官網下載ngrok網址是https://ngrok.com/download 2.將ngrok拷貝到你的工作目錄執行它。 3.一定要cd到你的工作目錄否則肯定不成。我做的時候網上一堆瞎逼逼的

如何用Wampserver和本地電腦,搭建局域FTP服務器?

FTP服務器 wampserver 管理局域網主機 使用Wampserver在本地搭建服務器環境之後,如何以目錄形式訪問根目錄下的文件夾和文件?如何顯示文件夾的內容?如何用Wampserver將本地電腦做成FTP服務器?本文將做一個詳細的教程。首先我們在wampserver根目錄下面新建一個tes

一個外使用者埠對映進入之後訪問不是ip而是ipsec分佈ip的問題

西北院那個我們準備用ipsec方式讓他們網站伺服器以我們這邊的ipv6地址對外發布出去的。 首先我們ispec隧道是建立起來了的。 在我們出口負載均衡裝置也能通他們的網站伺服器。 但是對映會有問題。 譬如你先用ipv4做了埠對映,譬如把106.38.122.202:80對映到西北院網站10.10.15

wcf服務釋出到windows Server2008伺服器

  頭一次接觸wcf這種東西,說起來簡單也不簡單,簡單之處讓你寫wcf服務和寫簡單的介面沒有什麼很大的區別,在介面上新增上契約就OK了,關鍵在於它的wcf配置檔案,目前還很頭大。如果不理解wcf服務是什麼,你就簡單的認為它就是一個介面(interface),然後它可以放到IIS上釋出,讓

DHCP服務(1)-在伺服器實現

1、 DHCP協議是使的計算機自動獲取IP地址的協議。 2、 在網路上有個提供DHCP協議的裝置,裝置一般伺服器、防火牆等。 3、ip地址的範圍是在伺服器上設定的 4、伺服器的IP一般是固定的 課程解釋: DHCP協議用於給網路中的計算機自動分配IP地址資訊。是客戶/伺

如何spring boot工程打成JAR包到伺服器執行

只需在專案的pom.xml中加入下面外掛 <build>     <plugins>         <plugin>             <groupId>org.springframework.boot</gro

SpringMVC 的使用對映路徑展示檔案伺服器的圖片

接上一篇提到的部署中的問題,可以採用 <mvc:resources>即可解決,然而使用這種方式也不是一帆風順的,需要解決其他的一些配置問題。 首先,spring mvc 的<mvc:resources mapping="***" location="***

服務地址對映為外可訪問地址

下載完ngrok之後,就可以簡單的使用了,它有各作業系統版本,我這裡是windows的. 1、win+R -->進入命令列。 2、cd -->轉到ngrok.exe 所在資料夾

使用花生殼穿透區域網專案對映到外

    高校雲平臺專案要上線,組長讓部署到外網,鑑於之前自己把     公司訂餐系統用花生殼成功部署到外網過,所以,這次也如法炮製     只需簡單四步!     1.去  花生殼官網 

穿透,地址對映為外地址

最近由於專案需要,測試微信支付回撥,但是微信回撥只能訪問到外網地址,自己電腦上的內網地址訪問不到,所以需要將內網地址對映為外網地址,這樣外網就能訪問我的內網專案了。 在網上找了一些工具,像花生殼、nat123這些工具,很多都收費了。不過還是找到了免費的工具,就

對映到外

如何把你的電腦對映到外網        前幾天一個客戶說需要把他的伺服器對映到外網,然後別人可以通過遠端連線來操作,遠端安裝使用軟體,但不知道怎麼做,在之前也是一頭霧水的,不知所云,但經過某思慮片刻之後,馬上茅塞頓開,很簡單啊!      其實你的電腦也可以當做伺服器

Mac下NATAPP對映到外

在做微信開發的時候,呼叫微信介面成功之後,微信會回撥我們事先配置好的一個介面。由於微信的服務是在外網的,所以這個回撥介面也只能是外網,而且微信要求回撥介面只能是通過ICP備案的域名,不能使用IP。所以在開發除錯的時候,需要把程式碼部署到線上的伺服器,通過打log

訪問FTP服務

cati 下載 數據 客戶端連接 utf 命令連接 說明 inter 同時 轉自 外網訪問內網的FTP服務器 首先感謝作者給出的總結,原文是介紹Serv-U的,我針對FileZilla Server進行了稍微修改,僅看操作可直接跳到分割線後第3部分。 1. 背景簡介最近研究

Linux系統如何在離線環境或環境安裝部署Docker服務其他服務

  如何在離線環境或純內網環境的Linux機器上安裝部署Docker服務或其他服務。本次我們以Docker服務和Ansible服務為例。   獲取指定服務的所有rpm包 保證要獲取rpm包的機器能夠上網。 本次我們以Docker服務和Ansible服務為例。   修改配置實現