iptables之nat轉發

阿新 • • 發佈：2017-06-30

iptables

主要分為路由前轉發PREROUTING，和路由後轉發POSTROUTING。

何為路由前？也就是從外部傳入數據，在到達主機網卡，還未進入網卡的瞬間。

何為路由後？也就是從外部傳入數據，進入並經過主機某個網卡後，向外傳出數據的瞬間。

一個簡單的模型如下：

外部數據------>主機網卡（如eth0、eth1等）------>目的地

路由前路由後

首先把轉發策略打開

[[email protected]~]# vi /etc/sysctl.conf 
net.ipv4.ip_forward=1 
[[email protected]

/* */~]# sysctl -p

一、路由前轉發

[[email protected] ~]# iptables -t nat -A POSTROUTING -d 192.168.1.125 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.125:8000

查看路由前nat表

[[email protected] ~]# iptables -t nat -vnL PREROUTING --line-number
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       52  6436 PREROUTING_direct  all  --  *      *       0.0.0.0/0          0.0.0.0/0           
2       52  6436 PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0     0.0.0.0/0           
3       52  6436 PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
4        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.125.0        tcp dpt:80 to:192.168.1.125:8000
5        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.125        tcp dpt:80 to:192.168.1.125:8000
6        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.125        tcp dpt:80 to:192.168.1.125

刪除路由前第一條規則，註意刪除後規則標簽會變化

[[email protected] ~]#iptables -t nat -D PREROUTING 1
[[email protected] ~]# iptables -t nat -vnL PREROUTING --line-number
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      148 16474 PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0     0.0.0.0/0           
2      148 16474 PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.125.0        tcp dpt:80 to:192.168.1.125:8000
4        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.125        tcp dpt:80 to:192.168.1.125:8000
5        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.125        tcp dpt:80 to:192.168.1.125

清空路由前nat表

[[email protected] ~]# iptables -t nat -F PREROUTING
[[email protected] ~]# iptables -t nat -vnL PREROUTING --line-number
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

二、路由後轉發

[[email protected] ~]# iptables -t nat -A POSTROUTING -d 192.168.125 -p tcp --dport 80 -j DNAT --to-source 192.168.1.125:8000

查看路由後nat表

[[email protected] ~]# iptables -t nat -vnL POSTROUTING --line-number
Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        2   267 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24        
2        0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255     
3        0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
4        0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
5        0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24    
6      129 10207 POSTROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
7      129 10207 POSTROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0    0.0.0.0/0           
8      129 10207 POSTROUTING_ZONES  all  --  *      *       0.0.0.0/0           0.0.0.0/0           
9        0     0 SNAT       tcp  --  *      *       192.168.125.0        0.0.0.0/0            tcp dpt:80 to:192.168.1.125:8000
10       0     0 SNAT       tcp  --  *      eth0    192.168.1.125        0.0.0.0/0            tcp dpt:80 to:192.168.1.125:8000

刪除路由後第二條規則，註意刪除後規則標簽會變化

[[email protected] ~]# iptables -t nat -D POSTROUTING 2
[[email protected] ~]# iptables -t nat -vnL POSTROUTING --line-number
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        2   267 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24        
2        0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
3        0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
4        0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24    
5      133 10511 POSTROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
6      133 10511 POSTROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
7      133 10511 POSTROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
8        0     0 SNAT       tcp  --  *      *       192.168.125.0        0.0.0.0/0            tcp dpt:80 to:192.168.1.125:8000
9        0     0 SNAT       tcp  --  *      eth0    192.168.1.125        0.0.0.0/0            tcp dpt:80 to:192.168.1.125:8000

清空路由後nat表

[[email protected] ~]# iptables -t nat -F POSTROUTING
[[email protected] ~]# iptables -t nat -vnL POSTROUTING --line-number
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

清空所有nat表

[[email protected] ~]# iptables -t nat -F

特別註意：以上所有命令執行後的結果都是保存在內存中，重啟系統後重置。要執行：

[[email protected] ~]# /sbin/iptables-save

命令保存到磁盤中。不同系統命令略有區別，這裏是RHEL7或Centos7

本文出自 “運維筆記” 博客，請務必保留此出處http://quliren.blog.51cto.com/9849266/1943295

iptables之nat轉發

iptables 主要分為路由前轉發PREROUTING，和路由後轉發POSTROUTING。何為路由前？也就是從外部傳入數據，在到達主機網卡，還未進入網卡的瞬間。何為路由後？也就是從外部傳入數據，進入並經過主機某個網卡後，向外傳出數據的瞬間。一個簡單的模型如下：外部數據

iptables之NAT端口轉發設置

lag 虛擬 p地址 iptable 轉發火墻無效 loop ror 背景：服務器A：103.110.114.8/192.168.1.8，有外網ip，是IDC的一臺服務器服務器B：192.168.1.150，沒有外網ip，A服務器是它的宿主機，能相互ping通服務器C：

iptables之NAT埠轉發設定

參考文章：https://www.cnblogs.com/kevingrace/p/5865792.html 我有兩臺伺服器： A：218.241.108.192/192.168.0.1 B：192.168.0.100 其中B算是一臺內網的伺服器，我每次跳轉都會先登入A，也是就是說A是

5、iptables之nat

回顧： telnet: 23/tcp samba: 137/udp, 138/udp, 139/tcp, 445/tcp dns: INPUT: 53/udp, OUTPUT: 53/udp 核心轉發：/proc/sys/net/ipv4/ip_forward /etc/sysct.

Linux 下iptables實現NAT轉發上網

echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -j MASQUERADE (或指定網絡卡和網段：iptables -t nat -A POSTROUTING -s 1

Iptables Nat轉發

iptables nat轉發Iptables Natiptables子命令：規則：-A:添加-I:插入-D:刪除-R:修改鏈：-N:新建一條自定義的鏈-X:刪除一條自定義的空鏈-F:清空鏈中的規則-Z:清空鏈中的計數器-E:重命名自定連的名稱-P:修改鏈的默認規則顯示：-L：-n,-v,--line-numb

iptables和firewall-cmd實現nat轉發配置

-a ade route toa prot fire 修改網卡 rec config 環境如下： A機器兩塊網卡eth0(192.168.0.173)、eth1(192.168.100.1)，eth0可以上外網，eth1僅僅是內部網絡，B機器只有eth1（192.168.1

iptables——實戰NAT（埠轉發）

1、NAT（埠轉發）是什麼資料包都是有原地址和目標地址的，NAT就是要對資料包的原地址或者目標地址（也可以修改埠的）進行修改的技術。為什麼我們要修改ip地址呢？是這樣的網際網路中只能傳送公網地址的資料包，私有地址的資料包是無法傳送的。這樣你想下，你每天在wifi環境下看

IPtables之四：NAT原理和配置

NAT一般情況下分為SNAT，DNAT和PNAT 此篇主要講述的是使用iptables配置NAT，所以這3種NAT的區別和應用場景就簡單的說明一下 SNAT：源地址轉換目標地址不變，重新改寫源地址，並在本機建立NAT表項，當資料返回時，根據NAT表將目的地址資料

基於LVS的負載均衡實現之NAT

ftp服務器 replicat 會話集群負載均衡技術方式 conn 需要執行一什麽是負載均衡負載均衡，英文名稱為Load Balance，其意思就是分攤到多個操作單元上進行執行，例如Web服務器、FTP服務器、企業關鍵應用服務器和其它關鍵任務服務器等，從而共同

Linux CentOS 6 NAT 轉發完整教程

linux centos 6 nat 轉發完整教程網絡拓補圖：環境介紹：一臺CentOS6 主機，雙網卡，兩網段網口設定如下：[[email protected]/* */ ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=et

將UBUNTU 服務器配置NAT轉發

ubuntu1、開啟內核轉發修改 /etc/sysctl.conf，將ipv4.ip_forward=1前的註釋去掉2、使用 sysctl -p 讓配置生效3、配置iptables iptables -t nat -A POSTROUTING -j MASQUERADE4、讓其他設備的網關

IPtables(5)NAT

nat proxy dnat snat nat：NetworkAddress Translation，安全性，網絡層+傳輸層SNAT(只修改請求報文的原地址;),DNAT(只修改請求報文的目標地址,端口映射,任何做一個DNAT需要對應一個SNAT)proxy：代理，應用層DNAT\SNAT核心

80端口被屏蔽解決方法，80端口穿透之NAT端口映射技術

sdn 映射 font statistic -c alt sso avi text 介紹一種NAT端口映射技術應用，達到80端口穿透目的，解決80端口被屏蔽的問題，也是80端口被屏蔽解決方法中經常用到的。 80端口穿透類似80端口轉發，因為80端口被屏蔽，在數據層面來說是

iptables的nat表應用（默認路由指向、端口映射）

查詢 localhost hat state icm cat ttl tab rop iptables nat表應用 nat表應用 A機器：雙網卡，ens33（ip：192.168.188.2）、ens37（ip：192.168.100.1），網卡ens33可以使用外網，

iptables詳解（11）：iptables之網絡防火墻

允許什麽模塊進行通訊 usr accep 屬於兩個我們一起來回顧一下之前的知識，在第一篇介紹iptables的文章中，我們就描述過防火墻的概念，我們說過，防火墻從邏輯上講，可以分為主機防火墻與網絡防火墻。主機防火墻：針對於單個主機進行防護。網絡防火墻：

iptables 做本地轉發

iptables需求：服務器192.168.1.209 上某個web程序監聽到了127.0.0.1 的8000 端口上。要通過訪問192.168.1.209的80端口來訪問127.0.0.1的8000端口：做法：iptables -t nat -I PREROUTING -p tcp --dport

iptables之state擴展與開啟被動模式ftp

state擴展被動模式ftp 加載規則1. state擴展 2. 如何開放被動模式的ftp服務？ 3. 防火墻規則的檢查次序 4. 保存與加載預存的規則 1. state擴展 ??該擴展至關重要，正是由於state才實現了連接追蹤機制。??連接追蹤機制：每一臺客戶端與本地主機進行通訊時（有可能是通過本地主

iptables之forward

iptables forward1. forward鏈的作用 2. 實現 1. forward鏈的作用根據數據報文的流向，若數據報文是由本機轉發的則會經由以下幾個鏈prerouting --> forward --> postrouting。 fo

LVS負載均衡之NAT模式

LVS負載均衡之NATLVS負載均衡之NAT模式重點理解NAT方式的實現原理和數據包的改變。 (a). 當用戶請求到達Director Server，此時請求的數據報文會先到內核空間的PREROUTING鏈。此時報文的源IP為CIP，目標IP為VIP?(b). PREROUTING檢查發現數據包的目標IP

iptables之nat轉發

相關推薦