2. 程式人生 > >32.filter表案例 nat表應用 (iptables)

32.filter表案例 nat表應用 (iptables)

阿新 發佈:2019-08-13

10.16/10.17/10.18 iptables nat表應用

 

 

10.15 iptables filter表案例:

 

~1. 寫一個具體的iptables小案例,需求是把80埠、22埠、21 埠放行。但是,22埠我要指定一個IP段,只有這個IP段的IP能訪問到。其他段的一概拒絕。需要通過一個指令碼來指定(指令碼可理解為一個批量執行的命令)、

vim /usr/local/sbin/iptables.sh 加入以下內容

#! /bin/bash 通過指令碼來實現

ipt=“/usr/sbin/iptables” 首先定義ipt這個變數,下面頻繁用到,不至於那麼繁瑣(寫指令碼時儘量用絕對路徑)

$ipt -F 清空之前的規則 (我們沒有-t指定一個表。所以為filter表)

$ipt -P INPUT DROP 指定INPUT的預設規則為DORP(也是為什麼要用指令碼的原因,不至於不能遠端連線)

$ipt -P OUTPUT ACCEPT 指定OUTPUT的預設規則為ACCETP(也就是預設規則)

$ipt -P FORWARD ACCEPT 指定FORWARD的預設規則為ACCETP(也就是預設規則)

然後下面加一些規則出來

$ipt -A INPUT -m state --state RELATED(可理解為連結的其他連結),ESTABLISHED(即為保持連結) -j ACCEPT

必須要寫的

制定了一些狀態,把他們放行。這些不太常用,但是要寫進來。因為我們要滿足上面的需要,這些需要總有一個相互連結的過程,為的是讓他們更順利的連結

$ipt -A INPUT -s 192.168.30.0/24 -p tcp --dport 22 -j ACCEPT 以上需求,按照22埠的規則的資料包放行

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT 以上需求,80埠的資料包放行

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT 以上需求,21埠的資料包放行

儲存退出後,要連結他。sh /usr/local/iptables.sh

iptables -nvL可檢視

~2. icmp示例

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

ping外面的機器可以ping通,ping本機就不ping(外面的也ping不通本機)

 

 

例項:

1.

[root@axinlinux-01 ~]# vim /usr/local/sbin/iptables.sh

ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.164.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

[root@axinlinux-01 ~]# sh /usr/local/sbin/iptables.sh

[root@axinlinux-01 ~]# iptables -nvL

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    7   796 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       192.168.164.0/24      0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 9 packets, 1104 bytes)
 pkts bytes target     prot opt in     out     source               destination

 

----------------------------------------------------------------------------------------------------------------------------------------------------

 

 

10.16/10.17/10.18 iptables

 

 

~1. nat表應用

~2. A機器兩塊網絡卡ens33(192.168.30.134)、ens37(192.168.164.1),ens33可以上外網,ens37僅僅是內部網路,B機器只有ens37(192.168.164.100),和A機器ens37可以通訊互聯

~3. 需求1:可以讓B機器連線外網

說白了就是做個小路由器(A機器),小路由器可以上網,那麼電腦就可以上網

首先,我們需要兩臺機器。給01新增網絡卡 例項~3.

~4. A機器上開啟路由器轉發 echo "1">/proc/sys/net/ipv4/ip_forward

預設這個路徑檔案為0,即代表沒有開啟核心轉發。因為要使用nat的應用,必須要開啟nat的埠轉發

~5. A上執行iptables -t nat -A POSTROUTING -s 192.168.164.0/24 -o ens33 -j MASQUERADE

這條規則,就是想讓100.0這個網段可以上網

新增這條規則,就可以上網了

~6. B上設定閘道器為192.168..164.

設定閘道器的目的:試想一下,你的資料包過去,從A到B,從B到A,我怎麼到A呢?肯定的需要一個閘道器啊,預設閘道器給他設定好。寫法為:

route add default gw 192.168.100.1

執行完這個就可以與公網通訊了(也就是01的IP)。我們在設定一下dns(vi etc/resolv.conf),就可以與外網通訊了。

vi之後加上 nameserver 119.29.29.29 這個是dns的公共dns.詳見例項,~5.

其實到這,就會發現,A機器(01)就是個路由器。B機器(02)通過A機器(01)上網

~7. 需求2:C機器只能和A通訊,讓C機器可以直接連通B機器的22埠

意思是,遠端連線B機器。因為A機器可以遠端,通過A機器跳轉到B機器,達到遠端連線B的目的。而這個就叫做“埠對映”

把B機器的22埠映射出來。A機器的埠已經了吧,是可以遠端的。我們把他對映成其他的。也就是說,我們訪問這個其他的埠,實際上就是訪問的B機器的22埠。從而達到遠端B機器的目的。如圖:

~8. A上開啟路由器轉發echo "1">/proc/sys/net/ipv4/ip_forward

同樣的開啟埠轉發

~9. A上執行 iptables -t nat -A PREROUTING -d 192.168.30.134 -p tcp --dport 1122 -j DNAT --to 192.168.164.100:22

這個是進來的,我的是30.134,給他轉發到164.100的22埠

~9. A上執行 iptables -t nat -A POSTROUTING -s 192.168.164.100 -j SNAT --to 192.168.30.134

這是回來的包,回來的包也要做一個操作

就從100.100回來的包,經過這個A機器,給他在做一個SNAT操作,把目標地址改成30.134

~10. B上設定閘道器為192.168.164.1

要給B加上閘道器,一樣的操作

route add default gw 192.168.164.1

 

例項:

~3.

首先準備01 的需求

 

 

 

6.選擇網路介面卡2,點lan區段(相當於連到內網的交換機上,這個交換機windows機器是連不上的。我們這兩臺機器01和02我們連上同一個交換機就可以通訊了)

 

 

11.我們02也相同的連上同樣的lan區段(也就是連上同樣的交換機)

以上準備工作已完成,啟動機器(注意,此時我們遠端不上02,是因為改成了lan區段)

12.此時01上,ifconfig會出現新的網絡卡ens37,我們要修改他的配置IP、網段,可以手動命令列來設定

ifconfig ens37 192.168.164.1/24 (當然只是在記憶體中更改的,重啟就沒有了,想要永久生效,就要編輯配置檔案。需要cp ens33的,去修改好幾個地方)

[root@axinlinux-01 ~]# ifconfig ens37 192.168.164.1/24

這樣兩塊網絡卡就設定好了。外網(ens33)內網(ens37)

13.那再來設定02機器的需求

因任務需要,保險起見。我們可以先ifdown掉ens33.這樣02只跟01通訊

14.同樣的我們根據需求,可以用手動命令列來設定02的IP

小案例:阿鑫在具體修改ens37的時候,並沒有ens37這個網絡卡。重新添加了新的網絡卡,並且連線了同樣01的lan區段,才有的ens37這個網絡卡

ifconfig ens37 192.168.100.100/24

小案例:阿銘視訊中,ping 01是ping不通的,是因為01 ens37的IP莫名沒有了,有ifconfig設定了一下,就好了

以上,準備工作已全部完成(~2.的準備工作完成)

 

~4.

[root@axinlinux-01 ~]# cat /proc/sys/net/ipv4/ip_forward

0 預設0,沒有開啟核心轉發

[root@axinlinux-01 ~]# echo "1">/proc/sys/net/ipv4/ip_forward 修改引數

[root@axinlinux-01 ~]# cat /proc/sys/net/ipv4/ip_forward

1 已開啟

 

~5.

route -n檢視閘道器,顯示沒有閘道器。 route add default gw 192.168.100.1設定預設為這個閘道器

 

~6.

vi etc/resolv.conf

這個時候就可以ping通這個公共dns了。當然也可以ping通外網了。但是外網ping不同這個。

 

 

相關推薦

32.filter案例 nat應用 iptables

10.16/10.17/10.18 iptables nat表應用     10.15 iptables filter表案例:   ~1. 寫一個具體的iptables小案例,需求是把80埠、22埠、21 埠放行。但是,22埠我要指定一個IP段,只有這個IP段的IP

axios在vue中的應用—— 單提交上傳圖片

使用axios實現圖片預覽、圖片上傳等功能: methods: { // 圖片預覽 priviewImg(e) { // ... }, // 提交表單 sumitRefund() { let fd = new FormDat

【資料結構】順序應用1

 問題: 1.將順序表(a1,a2,…,an)重新排列以a1為界的兩部分:a1前面的值均比a1小,a1後面的值均比a1大(這裡假設資料元素的型別具有可比性,不妨設為整型)。 #include "

【資料結構】順序應用2

問題: 2.有順序表A和B,其元素均按從小到大的升序排列,編寫一個演算法,將它們合併成一個順序表C,要求C的元素也按從小到大的升序排列。 #include "stdio.h" #include "sequlist.h" int main () { int le

【資料結構】順序應用3

問題: 已知一個順序表中的各節點值是從大到小有序的,設計一個演算法,插入一個值為x的節點,使順序表中的節點仍然是從小到大有序的。 #include "stdio.h" #include "seq

有表頭行與無表頭行的內在模組化中的應用ABAP

PROGRAM SAPMZTST. TYPES: BEGIN OF LINE,          COL1 TYPE I,          COL2 TYPE I,        END OF LINE. DATA: ITAB TYPE LINE OCCURS 10 WI

應用篇】Activiti外接單簡單應用

Activiti的簡單應用,使用外接表單的方式將業務頁面繫結到工作流的結點上,當執行到當前結點時,打印出繫結表單的內容。新建4個form頁面,頁面內容隨便寫些內容即可:按照下圖的方式依次繫結:流程變數設定如圖,其他的類似:對應生成的xml:<?xml version="

第四周--專案3單鏈應用3

* Copyright (c++) 2015 煙臺大學計算機學院 * All right reserved. * 檔名稱:p3.cpp * 作 者: 商文軻 * 完成日

第四周 單鏈應用2

煙臺大學計算機與控制工程學院           作    者:     郝環宇 完成日期:     9.23 問題描述:2、已知L1和L2分別指向兩個單鏈表的頭結點,且已知其長度分別為m、n, 請設

資料科學學習手札112Python+Dash快速web應用開發——單控制元件篇

> 本文示例程式碼已上傳至我的`Github`倉庫[https://github.com/CNFeffery/DataScienceStudyNotes](https://github.com/CNFeffery/DataScienceStudyNotes) # 1 簡介    這是我的系列教程**Pyt

『ORACLE』 對永久空間進行DDL操作11g

進行 bsp per ble style data 用戶 order 大小 查看數據庫默認表空間SQL> select property_value from database_properties where property_name = ‘DEFAULT_PER

增加一列屬性補充

公司 uid dir 註意 器) name 哪些 在線 alter 事情變得有意思了,上一篇花1小時撰寫的“一分鐘”文章,又引起了廣泛的討論,說明相關的技術大家感興趣,挺好。第一次一篇技術文章的評論量過100,才知道原來“評論精選”還有100上限,甚為欣慰(雖然是以一種自己

在STM32上實現NTFS之4:GPT分區的C語言實現1:主GPT表頭的實現

center mbr分區 sum 對齊 字節數 決定 容器 alt 水平 題外話:在荒廢了很久沒有更新之後……某日突然收到讀者的站內信!內容大體是詢問GPT分區表信息的讀取方式,筆者激動萬分之下,決定繼續解剖NTFS……其實GPT嚴格上不算是NTFS的內容, GPT和M

在STM32上實現NTFS之5:GPT分區的C語言實現2GPT實現以及統一方式讀取磁盤分區

tfs 下載 數據 特殊 dpt 屬性列表 handle 系統分區 成了   上一節實現了主GPT頭的信息提取,這一節繼續提取整個的GPT數據,並且將GPT分區表和MBR分區表兩種格式融合成一個模塊,使主調函數(也可以說是使用者)不需要關心磁盤的分區表類型:它太底層了,確實

金數據單接口請求php

array ins type 制作 分享 shu ext ray rmi 金數據是一個在線表單制作工具,功能十分強大,同時為開發者提供了金數據開發平臺 現根據自己的開發經歷分享下php語言請求金數據接口方法 開發平臺提供以下兩個主要接口 (其中APIKEY,APISEC

android greendao3.0 多關聯關系講解

簡書 前言 uil 總結 表關聯 外鍵關聯 講解 article 靈活 轉自:http://www.jianshu.com/p/dbec25bd575f 前言 之前用過數據庫框架:realm、kjdb,今天準備實踐學習一下greendao 3.0。greendao

JavaWeb學習總結(十三)——使用Session防止單重復提交

Coding etc pub submit exce sdf patch 傳輸 alt  在平時開發中,如果網速比較慢的情況下,用戶提交表單後,發現服務器半天都沒有響應,那麽用戶可能會以為是自己沒有提交表單,就會再點擊提交按鈕重復提交表單,我們在開發中必須防止表單重復提交。

的無鎖操作 JAVA

als ucc 節點刪除 發包 完成 continue 刪除節點 icm ble 看了下網上關於鏈表的無鎖操作,寫的不清楚,遂自己整理一部分,主要使用concurrent並發包的CAS操作。 1. 鏈表尾部插入 待插入的節點為:cur 尾節點:pred 基本插入方法

SQL Server 基礎之《學生-教師-課程表-選課表》

lap sql 分享 var -c view weight HA aid 表結構 --學生表tblStudent(編號StuId、姓名StuName、年齡StuAge、性別StuSex) --課程表tblCourse(課程編號CourseId、課程名稱CourseNam

倒置線性中資料的順序c++

倒置線性表中資料的順序(c++) 給LList類實現新增一個成員函式,倒置線性表中資料的順序,且演算法的執行時間為O(n) template<typename E> void LList<E>::reverse(){ Link<E> * p,*