linux学习第三十篇:iptables filter表小案例,iptables nat表应用

时间:2022-04-26
本文章向大家介绍linux学习第三十篇:iptables filter表小案例,iptables nat表应用,主要内容包括iptables filter表小案例、iptables nat表应用、基本概念、基础应用、原理机制和需要注意的事项等,并结合实例形式分析了其使用技巧,希望通过本文能帮助到大家理解应用这部分内容。

iptables filter表小案例

案列:只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.188.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。

脚本内容:

#! /bin/bash
ipt="/usr/sbin/iptables"  //命令的绝对路径,防止因为环境变量的问题导致命令无法执行
$ipt -F    //清空规则
$ipt -P INPUT DROP  //默认策略
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   //目的是为了让通信更加顺利
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT 
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT  

icmp示例,这里–icmp-type选项要跟-p icmp一起使用,后面指定类型编号。这个8指的是能在本机ping通其他机器,而其他机器不能ping通本机 iptables -I INPUT -p icmp –icmp-type 8 -j DROP

iptables nat表应用

nat表应用 A机器两块网卡ens37(192.168.202.129)、ens33(192.168.100.1),ens37可以上外网,ens33仅仅是内部网络,B机器只有ens33(192.168.100.100),和A机器ens33可以通信互联。 需求1:可以让B机器连接外网

  1. 给两台虚拟机添加一块新的网卡
  2. A和B给新的网卡设置为LAN区段

添加自定义名字

A和B都选择LAN区段

  1. A机器命令行添加ip(重启后会失效,如果想永久生效就配置文件)
  1. 给另一台B机器的内网网卡添加ip(ifconfig ens33 192.168.100.100/24)
  1. 两台机器的内网网卡可以互相ping通,此时A和B可以互相通信,但是A可以上网,B不可以上网。
  1. A机器上打开路由转发 echo “1”>/proc/sys/net/ipv4/ip_forward。这个文件的内容默认是0,要想使用nat表,网络的转发,就必须修改内核参数,所以需要把该文件内容改为1。
  2. A上执行添加规则iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE,这条规则就是让192.168.100.0这个网段可以上网
  3. B机器上设置网关为192.168.100.1。命令:route add default gw 192.168.100.1。设置完后B机器可以ping通A机器的公网IP即ens37网卡的IP地址
  4. 给B机器设置DNS。编辑DNS配置文件/etc/resolv.conf。在配置文件中添加一行nameserver 119.29.29.29。保存退出后就可以上网了,如果不行,可以用命令:systemctl stop iptables关闭防火墙,因为防火墙会干扰。

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

  1. A上打开路由转发echo “1”>/ proc/sys/net/ipv4/ip_forward,因为上面已经做过,所以可以不做。
  2. A机器上执行iptables -t nat -A PREROUTING -d 192.168.202.129 -p tcp –dport 1122 -j DNAT –to 192.168.100.100:22,规则的意思就是比如windows本机IP是192.168.202.1,它的目标IP是192.168.202.129,目标端口是1122,然后端口转发,把它转发到IP为192.168.100.100的22端口,这是进去的包。 执行之前先把之前的规则清除,以免影响,iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE,用D参数删除。
  3. A机器上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT –to 192.168.202.129,从192.168.100.100回来的包经过A机器再做一个SNAT操作,把目标地址改成192.168.202.129,这个目标地址是在我们A机器上往外发出去的源IP,回到window机器上时才能识别,知道是哪个机器的过来的。
  4. 给B机器加上网关。命令:route add default gw 192.168.100.1。上面已经做过,所以可以省略。弄完之后原本不可以远程连接的B机器,现在可以通过远程连接A机器的公网IP:192.168.202.129的1122端口来连接B机器。

扩展 1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html 2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html 3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html