iptables的FORWARD链

在iptables的filter表中的FORWARD链的使用是配合nat表进行使用的它负责的是对nat表做ip地址转发的规则检查,如果你有用路由转发就要对FORWARD链进行严格管理(nat表的具体使用可看http://jim123.blog.51cto.com/4763600/1842202),以部署过openvpn的服务器为例(openvpn部署具体可以看http://jim123.blog.51cto.com/4763600/1840776的相关文章)

在我们的nat表有做过IP地址转发

*nat
:PREROUTING ACCEPT [19:2584]
:POSTROUTING ACCEPT [1:92]
:OUTPUT ACCEPT [1:92]
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.168.253 
COMMIT

那么在filter表中的FORWARD链就要放行2条规则

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 192.168.168.0/24 -d 192.168.168.253 -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s 10.8.0.0/24 -i tap0 -j ACCEPT#放行10.8.0.0/24网段的ip
-A FORWARD -s 192.168.168.0/24 -i eth0 -j ACCEPT#放行192.168.168.0/24网段的ip
-A FORWARD -j REJECT --reject-with icmp-host-prohibited#FORWARD中不在以上规则全部拒绝
-A OUTPUT -m state --state INVALID -j DROP

这里再说下iptables的规则是同一条链里从上到下读取的所以你的规则一定要先把放行的先写好

时间: 2024-10-30 00:10:12

iptables的FORWARD链的相关文章

iptables之网络防火墙(FORWARD链)初步实验

网络结构如下: A.B.C三台主机,A主机扮演外网访问角色:B主机打开核心转发,启用防火墙.两张网卡配置不同网段IP:C主机为内网HTTP服务器.以下为配置流程: 本次实验使用2台虚拟机,一台物理机:主机A和主机B虚拟机网卡设置成VMnet3 1.打开主机B中的核心转发功能: # vi /etc/sysctl.conf   将net.ipv4.ip_forward值修改为1   net.ipv4.ip_forward = 1 # sysctl -p  查看是否生效 2.主机C安装APACHE 在

iptables之forward

1. forward链的作用 2. 实现 1. forward链的作用   根据数据报文的流向,若数据报文是由本机转发的则会经由以下几个链prerouting --> forward --> postrouting.  forward实现的是数据转发的功能,当数据报文经过本机时,网卡接收数据报文至缓冲区,内核读取报文ip首部,发现报文不是送到本机时(目的ip不是本机),由内核直接送到forward链做匹配,匹配之后若符合forward的规则,再经由postrouting送往下一跳或目的主机.

iptables的实战整理

一.iptables使用场景: 内网情况下使用:在大并发的情况下不要开iptables否则影响性能 二.iptables出现下面的问题: 在yewufangwenbijiaoman/var/log/message中出现 ip(nf)_conntrack: table full 使得企业访问较慢的解决方法: vim /etc/sysctl.conf #加大 ip_conntrack_max 值 net.ipv4.ip_conntrack_max =393216 net.ipv4.netfilter

Linux的iptables的基本应用

iptables原理: 包过滤型的防火墙 Firewall:防火墙,是一个隔离工具,能够对报文进行规则匹配,主要工作于主机或者网络边缘,对于匹配到报文进行相应的处理.所以其工作的范围又分为两类: 主机防火墙:对进出本主机的数据包进行规制匹配,并作出相应的处理动作. 网络防火墙:对流经本网络的数据包进行规制匹配,并作出相应的处理动作,工作在网络出口处,一般作为网关防火墙. 防火墙的的匹配规则顺序:自上而下按顺序进行匹配,对于匹配到的规则则按相应的处理动作进行处理,如果没有一条规则能匹配到则按默认规

iptables 简单介绍及应用 Linux防火墙

iptables 即 Linux防火墙 的简单介绍及使用 iptables生效位置如下图: 其中, 网络防火墙也可以使用一台启用了iptables的Linux主机代替; 路由器或集线器等设施在拓扑中省略了; 那么上图显示出了iptables在哪里, 下面说一下iptables的工作原理: 我们知道Linux中所有的数据包接收和发送都是在 内核 中完成的, 但是iptables并不是工作在内核中的, 那如何实现防火墙的功能? iptables工作在用户空间, 并向工作在内核中的netfilter定

60、Docker 学习笔记(CentOS 7.1)

基本概念 Docker 包括三个基本概念 镜像(Image) 容器(Container) 仓库(Repository)理解了这三个概念,就理解了 Docker 的整个生命周期. Docker 镜像 Docker 镜像就是一个只读的模板.例如:一个镜像可以包含一个完整的 ubuntu 操作系统环境,里面仅安装了 Apache 或用户需要的其它应用程序.镜像可以用来创建 Docker 容器.Docker 提供了一个很简单的机制来创建镜像或者更新现有的镜像,用户甚至可以直接从其他人那里下载一个已经做好

Docker 学习笔记(CentOS 7.1)

基本概念 Docker 包括三个基本概念 镜像(Image) 容器(Container) 仓库(Repository)理解了这三个概念,就理解了 Docker 的整个生命周期. Docker 镜像 Docker 镜像就是一个只读的模板.例如:一个镜像可以包含一个完整的 ubuntu 操作系统环境,里面仅安装了 Apache 或用户需要的其它应用程序.镜像可以用来创建 Docker 容器.Docker 提供了一个很简单的机制来创建镜像或者更新现有的镜像,用户甚至可以直接从其他人那里下载一个已经做好

docker之高级网络配置

网络基础:     docker0:        docker 启动时,会在宿主机(HOST)上创建一个docker0的虚拟网桥(交换机).本质上docker0是个birdge,主要提供container和宿主机之间的数据转发. docker0的ip地址是docker在启动是分配的本地私有网段,常见的172.17.0.0/16.同时container中也会分配同网段的一个ip地址. veth pair:        当创建一个container时,同时也会创建一对veth端口.当向其中一个端

firewalld 防火墙

firewall firewall引进了区域的概念,区域即一个功能独立的模块 [九大区域] public:默认开机区域,公共区域 只有设置为允许的通信可以通过 trusted:信任区域   允许所有通信通过 drop:丢弃区域   拒绝所有通信 block:类似于drop   拒绝所有外部通信,允许内部通信 external:nat区域   开启nat代理和端口映射 dmz:非军事区 允许外部访问的服务器 work:工作区域 home:家庭区域 internal:内部区域 工作机制:审核网卡所在