1. 程式人生 > >10.15iptables filter表案例10.16-10.18iptables nat表應用

10.15iptables filter表案例10.16-10.18iptables nat表應用

image nat lan區段 案例 證明 network 9.png efault 網上

10.15 iptables filter表案例
技術分享圖片
RELATED:邊源的一個狀態的連接,那是連接之後的一些額外的連接
ESTABLISHED:保持連接
執行這個shell腳本
技術分享圖片
10.16/10.17/10.18 iptables nat表應用
技術分享圖片
在A虛擬機上增加一塊網卡
技術分享圖片
選擇LAN區段
技術分享圖片
點LAN區段 再選 增加 輸入名字
技術分享圖片
選擇剛才增加的網卡名字
技術分享圖片
在B虛擬機上斷開原來的網卡,取消啟動時連接
技術分享圖片
增加一個LAN區段的網卡,方法同上,區段也是選擇剛才增加的網卡
技術分享圖片
A機器給ens37設置ip
臨時設置的ip命令:ifconfig ens37 192.168.100.1/24 重啟後會消失
永久設置ip需去復制ens33的配置文件cp /etc/sysconfig/network-scritps/ifcfg-ens33 ens37 改名為ens37,然後在配置文件裏更改ip,網關和DNS可以不用
技術分享圖片
B機器因為無法遠程登陸,因為網卡斷了,所有在到機器設置
關閉網上ens33,因為只用ens37就可以了
設置B機器上的ens37 ip地址
ifconfig ens37 192.168.100.100/24
技術分享圖片
這時候ping 192.168.100.1 無法ping通的
技術分享圖片
檢查一下2個虛擬網卡的設置
然後再檢查一下是否連接 mii-tool ens37
最後發現A機器上的ens37剛設置的ip沒有了,重新設置一下一,就可以兩邊都ping通了
技術分享圖片
到些所有準備工作 都做好了
? 需求1:可以讓B機器連接外網
A機器上打開路由端口轉發 把配置文件ip_forward的值更改為1
echo "1">/proc/sys/net/ipv4/ip_forward
技術分享圖片
執行這條規則
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
查看添加的這條規則,這個規則就是讓100網段的可以上網
技術分享圖片
B機器上設置網關為192.168.100.1
route add default gw 192.168.100.1
技術分享圖片
這時候能ping通192.168.133.130,這就意味著可以上外網了
ping網關119.29.29.29也通了,證明可以上公網了
需求2:C機器只能和A通信,讓C機器可以直接連通B機器的22端口
因為做需求1的時候已經添加了網關,也做了路由端口轉發,所以這裏就直接運行以下命令
A上執行iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
A上執行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

10.15iptables filter表案例10.16-10.18iptables nat表應用