Linux26期 7月13日任务
7月13日任务
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
扩展
1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html
10.15 iptables filter表案例
Linux防火墙-netfilter
一 iptables小案例
二 vi /usr/local/sbin/iptables.sh //加入如下内容 (写一个脚本,先暂时认为就是批量执行命令)
#! /bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -p INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
可以用vim查看带颜色的 #vim /usr/local/sbin/iptables.sh
三 icmp 示例
四 iptables -I INPUT -p icmp --icmp-type 8 -j DROP
10.16/10.17/10.18 iptables nat表应用
Linux防火墙-netfilter
一 nat表应用
二 A机器两块网卡 ens33(192.168.133.130), ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。
三 需求1: 可以让B机器连接外网
四 A机器上打开路由转发 echo “1”>/proc/sys/net/ipv4/ip_forward
五 A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
六 B上设置网关为192.168.100.1
七 需求2:C机器只能和A通信,让C机器可以直接联通B机器的22端口
八 A上打开路由转发echo “1”>/proc/sys/net/ipv4/ip_forward
九 A上执行 iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
十 A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130
十一 B上设置网关为192.168.100.1
扩展
1. iptables应用在一个网段
iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP
2. sant,dnat,masquerade
转)iptables中DNAT、SNAT和MASQUERADE的理解
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映谢。
这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚,现在我在这里解释一下。首先,我们要了解一下IP包的结构,如下图所示:
在任何一个IP数据包中,都会有Source IP Address与Destination IP Address这两个字段,数据包所经过的路由器也是根据这两个字段是判定数据包是由什么地方发过来的,它要将数据包发到什么地方去。而iptables的DNAT与SNAT就是根据这个原理,对Source IP Address与Destination IP Address进行修改。然后,我们再看看数据包在iptables中要经过的链(chain):
图中正菱形的区域是对数据包进行判定转发的地方。在这里,系统会根据IP数据包中的destination ip address中的IP地址对数据包进行分发。如果destination ip adress是本机地址,数据将会被转交给INPUT链。如果不是本机地址,则交给FORWARD链检测。
这也就是说,我们要做的DNAT要在进入这个菱形转发区域之前,也就是在PREROUTING链中做,比如我们要把访问202.103.96.112的访问转发到192.168.0.112上:
iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112
这个转换过程当中,其实就是将已经达到这台Linux网关(防火墙)上的数据包上的destination ip address从202.103.96.112修改为192.168.0.112然后交给系统路由进行转发。
而SNAT自然是要在数据包流出这台机器之前的最后一个链也就是POSTROUTING链来进行操作
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66
这个语句就是告诉系统把即将要流出本机的数据的source ip address修改成为58.20.51.66。这样,数据包在达到目的机器以后,目的机器会将包返回到58.20.51.66也就是本机。如果不做这个操作,那么你的数据包在传递的过程中,reply的包肯定会丢失。
假如当前系统用的是ADSL/3G/4G动态拨号方式,那么每次拨号,出口IP都会改变,SNAT就会有局限性。
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
重点在那个『 MASQUERADE 』!这个设定值就是『IP伪装成为封包出去(-o)的那块装置上的IP』!不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。
转载于:https://my.oschina.net/u/3851620/blog/1857591
Linux26期 7月13日任务相关推荐
- Linux26期 6月21日
5.5 进入编辑模式 5.6 vim命令模式 5.7 vim实践 扩展 vim的特殊用法 http://www.apelearn.com/bbs/thread-9334-1-1.html vim常用快 ...
- linux test数字txt,Linux26期 7月4日预习笔记
9.4/9.5 sed 一,打印某行 sed命令的格式为:sed -n 'n'p filename ,单引号内的n是一个数字,可以使用命令sed -n '1,$'p filename ,如下 去掉-n ...
- steam游戏在线人数统计周报第2期-2019年10月13日
统计时间范围:2019年10月07日-2019年10月13日 top10热门增长游戏 # 名称 增长人数(人) 增长比率 1 7 Days to Die 6176 92.43% 2 Sid Meier ...
- 互联网晚报 | 4月13日 星期三 | 阿里云人事大变动;老坛酸菜方便面重返超市货架;工信部:加快5G全连接工厂建设...
阿里云人事大变动,中国区总裁辞任.多名中高层骨干离职 4月13日消息,阿里云人事大变动,中国区总裁辞任.多名高P离职多方消息人士透露,阿里云正在进行新一轮组织架构调整:阿里云中国区总裁任庚(M6)将离 ...
- 新的“钉子户”来了!一加9RT将于10月13日正式亮相
4月15日,一加推出了全新的一加9R国行版,该机搭载了骁龙870次旗舰处理器,拥有120Hz高刷新率和240Hz五指触控采样率,受到了广大年轻用户尤其游戏党的喜爱.而在日前,一加手机宣布,将于10月1 ...
- 闲鱼:1月13日至1月19日冻结涉欺诈用户1.1万个
1月24日消息,日前,闲鱼对外发布最新一期网络生态治理专项行动公告,称1月13日至1月19日闲鱼冻结涉欺诈用户1.1万个:处理色情低俗类商品2800余件,冻结账号1100余个,处理水军炒作服务商品90 ...
- LG化学和三星SDI宣布关闭美国电池工厂直至4月13日
3月26日,据国外媒体报道,由于受新型冠状病毒疫情影响,韩国动力电池企业LG化学(LG Chem)与三星SDI宣布,关闭它们在美国的电池工厂直到4月13日. 本周三,LG化学表示,由于新型冠状病毒的大 ...
- 准备好钱了吗?新款iPhone或于9月13日开始接受预订
苹果公司昨日正式对外发布了19年秋季新品发布会的举办日期及地点信息,即9月10日在史蒂夫·乔布斯剧院举行的特别活动.外界普遍预计苹果会在此次发布会上推出三款新iPhone以及Apple Watch,而 ...
- 包教会一对一跟着CNS学单细胞测序(含空间转录组、chipseq、RNAseq、Atacseq 和外显子等)3月13日开始...
报名成功立马送您往期所有视频预习 本班实行"包教包会.一对一指导服务",即如果报本班,不仅有同步回放视频,而且一对一指导服务,解决学完无法消化问题.学不会免费继续学,直到学会为止. ...
最新文章
- linux shared,从 0 开始学习 Linux 系列之「22.共享内存 Shared Memory」
- python 生成html表的报告_pytest文档7-pytest-html生成html报告
- CXF学习(4) 处理无法自动转换的复合数据类型
- 美甲帮:数加平台打造大数据架构
- JavaScript中使用Json
- Android 内存泄漏分析指北
- JXLS 2.4.0学习
- 拉普拉斯变换公式表_工程数学中的积分变换的总结
- JS日期与字符串相互转换!!
- 图解50道sql编写题
- i.MX6ULL终结者RS232驱动测试及RS485测试
- 概率论与数理统计浙大第五版 第一章 部分习题+R代码
- linux下载flink安装包
- 磁珠 符号_电子元件磁珠该如何使用呢?
- 2-《电子入门趣谈》第一章_一切从单片机开始-1.1单片机概述
- javascript汉字转拼音 [zt]
- 最近大火的chatGPT是什么?它是怎样聊天的?
- 前端例程20211122:盐酸与氢氧化钠溶液中和pH计算工具
- Git 最著名报错 “ERROR: Permission to XXX.git denied to user”终极解决方案
- 服务器无限矿物指令,迷你世界刷矿物指令 | 手游网游页游攻略大全
热门文章
- Linux网络编程errno的EAGAIN和EINTR
- 可以下载VR模型网址网站
- 第6章 数据结构化与数据存储(6.1数据结构化神器——pandas库,读取网页中的表格数据)
- 【数字基座·智慧物联】AIRIOT新品发布会在京举办
- 总结:触发unc路径访问的方式
- 快速排序及时间复杂度和空间复杂度
- Jacoco覆盖率工具使用
- 表达式求值(中缀转后缀及后缀表达式求值)
- 2020Arxiv之ReID:Deep Learning for Person Re-identification: A Survey and Outlook
- 基于STC89C52RC的震动感应控制继电器