iptables 防火墙之二

Iptables防火墙(SNAT/DNAT)

SNAT策略及应用

SNAT源地址转换是linux命令中的一种数据包控制类型,作用是根据指定条件修改数据包的源IP地址。

共享固定IP地址上网

Linux网关服务器,eth0和eth1其中eth0为外网地址X.X.X.X(此处为外网地址) eth1为内网地址192.168.2.1

所有局域网PC机的默认网关为192.168.2.1,且已经设置了正确的DNS服务器。

要求192.168.2.0/24网段的PC机能够通过共享方式正常访问Internet。

  1. 打开网关路由转发

修改/etc/sysct1.conf,把net.ipv4.ip_forward = 0 改为1如下

[[email protected] ~]# vim/etc/sysctl.conf

net.ipv4.ip_forward = 1

[[email protected] ~]# sysctl -p   #读取修改后的配置

临时开启路由转发的方法:[[email protected] ~]# echo 1 >/proc/sys/net/ipv4/ip_forward或者[[email protected] ~]# sysctl -wnet.ipv4.ip_forward=1

net.ipv4.ip_forward = 1

  1. 设置SNAT策略

[[email protected] ~]# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -oeth0 -j SNAT --to-source X.X.X.X

完成,测试就好了。

当使用共享动态IP地址上网的时候网关的IP地址可能并不是固定的,例如使用ADSL拨号宽带接入时,在这种情况下iptables提供了MASQUERADE(伪装)的数据包控制类型,是SNAT的一个特例,设置时只需要去掉SNAT策略中的“--to-source IP”改用“-j MASQUERADE”

[[email protected] ~]# iptables -t nat -APOSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE

DNAT策略及应用

DNAT,目标地址转换,其作用是根据指定条件修改数据包的目标IP地址、目标端口。

SNAT用来修改源IP地址,而DNAT用来修改目标IP地址,目标端口,SNAT只能用在nat表的POSTROUTING链,而DNAT只能用在nat表的PREROUTING链和OUTPUT链(或被其调用的链)中。

发布企业内部的web服务器

1.公司注册域名www.XXXX.com.IP地址为X.X.X.X(外网IP)

2.公司网站服务器位于局域网内,IP地址为192.168.2.5

3.要求在internet中通过域名访问公司网站

操作如下

a) 打开网关路由(不在复述SNAT有提到)

b) 设置DNAT

[[email protected] ~]# iptables -t nat -A PREROUTING -i eth0 -d X.X.X.X -ptcp --dport 80 -j DNAT --to-destination 192.168.2.5

测试。

时间: 2024-08-06 11:33:41

iptables 防火墙之二的相关文章

iptables防火墙(二)

1.SNAT(Source Network Address Translation源地址转换):是Linux防火墙的一种地址转换操作 原理:根据指定条件修改数据包的源     IP地址 应用环境:局域网主机共享单个公网IP地址接入Internet   2.导出(备份)规则--iptables-save [[email protected] ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Apr 6 20:17:56 201

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

iptables防火墙高级应用

iptables 防火墙(主机防火墙) 前言:我们在以前学习过asa防火墙,对防火墙有一定的了解,那么iptables和asa防火墙类似,作用一样,都是为了保证网络安全,系统安全,服务器的安全,和asa一样也需要建立策略,个人觉得比asa的策略要繁琐一点,但只要多做几遍,也就简单了. 一.防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. 1.iptables的表.链结构 Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

iptables防火墙应用

安全服务--Iptables  一.网络安全访问控制我们都知道,Linux一般作为服务器使用,对外提供一些基于网络的服务,通常我们都需要对服务器进行一些网络控制,类似防火墙的功能,  常见的访问控制包括:那些IP可以访问服务器,可以使用那些协议,那些接口.那些端口 是否需要对数据包进行修改等等.如果某服务器受到攻击,或者来自互联网哪个区域或者哪个IP的攻击,这个时候应该禁止所有来自该IP的访问.那么Linux底层内核集成了网络访问控制,通过netfilter模块来实现.  iptables作用:

Linux中iptables防火墙指定端口范围

我需要700至800之间的端口都能tcp访问 代码如下 复制代码 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 700 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 701 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp

iptables防火墙基础

一.iptables基础: 1.了解iptables防火墙. (1)iptables的表:按照功能的不同表分为raw(状态跟踪).mangle(标记).nat(地址修改).filter(过滤). (2)iptables规则链:按照不同时机链分为INPUT(入站).OUTPUT(出站).FORWARD(转发).PREROUTING(路由前).POSTROUTING(路由后): 在链中存放规则: filter: INPUT/FORWARD/OUTPUT nat: PREROUTING/POSTROU

阿里云Centos配置iptables防火墙

虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT.OUTPUT和FORWORD都是ACCEPT的规则 一.检查iptables服务状态 首先检查iptables服务的状态 [[email protected] ~]# service iptables status iptables: Firewall is not running. 说明iptables服务是有安装的,但是没有启动服务.如果没有安装的话可以直接yum安

系统安全之iptables防火墙

一.简介 工作在主机或网络边缘的,对进出的报文事先定义的规则进行检查,由软硬件两者协同工作,这就是防火墙. 二.iptables常用选项 iptables命令: iptables - administration tool for IPv4 packet filtering and NAT SYNOPSIS    iptables [-t table] {-A|-C|-D} chain rule-specification    iptables [-t table] -I chain [rul