W7-C4-0509

七周四次课(5月9日)
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
扩展

  1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
  2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
  3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html

1. iptables filter表案例

把80, 22, 21端口放行
22端口指定可访问的IP段, 其他一概拒绝

vim /usr/local/sbin/iptables.sh

#! /bin/bash 
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP #DROP后无法连接, 所以用脚本
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -mstate --state RELATED, ESTABLISHED -j ACCEPT #相关状态的数据包放行
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

icmp示例 (禁ping)
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
ping原理是用类型码为0的ICMP发请求,收到请求的主机则用类型码为8的ICMP回应

2. iptables nat表应用

状态
机器A: 2块网卡, ens33可上外网, IP为192.168.192.130, ens37为内网, IP为192.168.100.1
机器B: 1块网卡, 不能上外网. ens37为内网, IP为192.168.100.2

需求1: 让机器B能连外网, 相当于A作为路由器

准备工作
虚拟机添加网卡, 网络连接处选择LAN区段, 然后启动.
机器A 为ens37设置IP: ifconfig ens37 192.168.100.1/24. 只是临时IP, 重启失效.
机器B 为ens37设置IP: ifconfig ens37 192.168.100.2/24. 可先ifdown ens33

操作

机器A打开端口转发. 修改内核参数, 默认是0
cat /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward

机器A增加规则
iptables -F
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
外网地址是动态变换的, 加MASQUERADE
机器B设置网关
route -n查看
route add default gw 192.168.100.1

然后就可以ping通192.168.192.130了

设置gareway
vim /etc/resolv.conf
nameserver 114.114.114.114

需求2: 端口映射. C只能连A, 让C能连机器B的22端口

操作

开启端口转发
echo "1" > /proc/sys/net/ipv4/ip_forward
删除之前规则
iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

添加规则
iptables -t nat -A PREROUTING -d 192.168.192.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.2:22
iptables -t nat -A POSTROUTING -s 192.168.100.2 -j SNAT --to 192.168.192.130

B设置网关为192.168.100.1

未经允许不得转载:外贸SOHO笔记 » W7-C4-0509

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下作者~

支付宝扫一扫打赏

微信扫一扫打赏