Linux iptables IP映射 跨网段访问

最新推荐文章于 2025-10-14 09:15:52 发布
原创 最新推荐文章于 2025-10-14 09:15:52 发布 · 7.1k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux 跨网段IP映射 #iptables ip映射 #Linux iptables netfilter

本文详细介绍了如何使用Linux的iptables和netfilter机制实现跨网段访问,通过IP映射解决不同网段间设备通信问题。文章涵盖了iptables的配置、表与链的概念,以及具体的脚本实现。

                        Linux iptables IP映射 跨网段访问 

19.1 前言

开发中,遇到一个跨多个网段访问设备内部局域网的问题。刚开始对这个跨网段的问题无从下手,但后面想了又想,难道不能让一个网口直接桥接到另外一个网口吗?顺着这个想法,于是就想到了IP映射,后面又深入到Linux中的netfilter机制。我们可以使用Linux中netfilter的机制将数据包源地址、目标地址进行“如假包换”,改变数据包的流向,从而实现跨网段的访问。该机制其实就是将Linux当做防火墙,局域网内部的IP为服务器IP,外网通过访问Linux,Linux作为中间组件再访问内部服务器,再将服务器的数据给到外网的客户端,从而避免服务器直接与外网相连带来的安全隐患。

如上图示,Linux Device跟PC机是在同一网段,我们要PC机直接访问server,但是server和PC机是在不同网段的,因此不能直接访问。解决这种访问的方法有两个:

第一:将PC的网关配成设备的IP=192.168.36.28,然后开启Linux Device的网络转发功能:(echo 1 > /proc/sys/net/ipv4/ip_forward),让Linux Device作为PC与server之间的网关,这样便PC就可以直接访问server了。(注:此方式只支持一个两个网段不同设备之间的访问,如果中间经过了很多路由,此方法失效。另外此方法需要更改PC的IP比较麻烦)。

第二:使用Linux的netfilter机制,利用Linux进行IP映射。(该方式克服了跨越多网段访问的问题,另外无需更改PC端的IP网关也能实现跨网段访问)。

 

19.2 IP映射过程简介

如果开启了IP映射功能,那么其数据的转发流程将如下示:

第一:当PC发起到服务器的连接请求时,数据包从192.168.36.59发出,到达linux主机192.168.36.28,经过Linux防火墙时将数据包重新构造,把数据包的目的地址由192.168.36.28改为192.168.168.168。

第二:经过第一步处理的数据包进入192.168.168.100,数据包从192.168.168.100发向192.168.168.168时,将数据包的源地址192.168.36.59改为192.168.168.100。

第三:server接收到请求数据包之后响应,响应数据包从192.168.168.168发送到192.168.168.100,在接收到src为192.168.168.168的数据包时,将其目的地址192.168.168.100改为192.168.36.59.

第四:数据包第三步处理后流向192.168.36.28,当数据包流出192.168.36.28时,将其源地址192.168.168.168改为192.168.36.28。

经过上述四个步骤,Linux Device相当于一个透明设备,只是作为中间桥梁。

 

19.3 Iptables移植

第一步:从网上下载iptables源码、Linux2.6以上Linux3.1以下 kernel源码。

第二步:配置内核支持netfilter,相关自行网上查阅。

第三步:编译iptables,编译时一定要加上--enable-static --disable-shared否则运行命令时会出现一些问题。

./configure --host=arm-linux --prefix=/home/veryarm/iptables/install --enable-static --disable-shared --with-ksource=/home/veryarm/board/kernel

备注:Linux内核3.10版本以上源码存在头文件包含问题,因此我选择了Linux内核3.0版本跟iptables一起编译。

附:编译参考博客:https://blog.youkuaiyun.com/zhang_danf/article/details/50461350

 

19.4 Linux netfilter简介

对于网络数据包转发,IP映射其涉及的是计算机网络知识。Linux内核包含几个模块,其中一大模块就是网络相关部分,里面涉及很多的网络协议栈,其中包含现在要讲述的Linux 防火墙。

当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。而iptables实现防火墙功能的原理是:在数据包经过Linux内核的过程中有五处关键地方(PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING)时,数据包会经过由iptables在用户空间在这5处设置规则关卡,对经过的数据包进行处理,规则一般的定义为“如果数据包头符合这样的条件,就这样处理数据包”。

由图可知,当一个数据包进入计算机时,首先进入POSTROUTING链,然后内核根据路由表决定数据包的方向。若数据包的目的地址是本机,则将数据包送往INPUT链进行规则检查,当数据包进入INPUT链后,系统的任何进程都会收到它,本机上运行的程序可以发送该数据包,这些数据包会经过OUTPUT链,再POSTROUTING链发出;若数据包的目的地址不是本机,则检查内核是否允许转发,若允许,则将数据包送FORWARD链进行规则检查,若不允许,则丢弃该数据包。若是防火墙主机本地进程产生并准备发出的包,则数据包被送往OUTPUT链进行规则检查。

 

附:具体学习iptables相关网站链接:http://www.zsythink.net/archives/1199

 

19.5 iptables介绍

首先,iptables是用户层可直接修改内核网络协议栈配置的命令。iptables中定义有表,分别表示提供的功能,有filter表(实现包过滤)、nat表(实现网络地址转换)、mangle表(实现包修改)、raw表(实现数据跟踪),这些表具有一定的优先级:raw-->mangle-->nat-->filter。还定义了链,5个链(PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING)其实就是每个链都会有自己的规则,那把这些规则挂起来的变成一条规则链,这就是链的由来。

 

Iptables四个表:

filter表:  负责过滤功能,防火墙;内核模块:iptables_filter

nat表:     network address translation,网络地址转换功能;内核模块:iptable_nat

mangle表:  拆解报文,做出修改,并重新封装 的功能;iptable_mangle

raw表:     关闭nat表上启用的连接追踪机制;iptable_raw

Iptables链概念:

PREROUTING      的规则可以存在于:raw表,mangle表,nat表。
INPUT          的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
FORWARD         的规则可以存在于:mangle表,filter表。
OUTPUT         的规则可以存在于:raw表mangle表,nat表,filter表。
POSTROUTING      的规则可以存在于:mangle表,nat表。

Iptables中链与表的关系:

 

Iptables匹配规则之后的动作参数。

DNAT:      目标地址转换
ACCEPT:    允许数据包通过
DROP:      丢弃数据包,不做任何回复
EWJECT:    拒绝数据包通过
SNAT:      源地址转换、解决内网用户同一个公网地址上网问题。
MASQUERADE: 是SNAT特殊模式,用于动态的、临时的ip上

iptables -t filter -A INPUT -s 192.168.36.28 -j DROP

-t 指定要操作的表,后接表名

-A 后面添加规则到哪个链,后接chains

-s 指明匹配条件的“源地址”,后接IP地址

-j 表示条件满足时所对应的动作,后接上述动作

-L 表示list

 

以下是配置Linux设备IP映射的脚本。

#!/bin/sh  

SOURCE_CLIENT_IP_ADDR="192.168.36.59"  
ETH_OUTER_IP_ADDR="192.168.12.60"  

TARGET_SERVER_IP_ADDR="192.168.168.168"  
ETH_INTER_IP_ADDR="192.168.168.100"  

help()  
{  

    echo "[inform] visit through multi-networks script";  
    echo "1:your system must support netfilter";  
    echo "2:your system have two ethx at least";  
    echo "3:you must have ipptables tools";  
    echo "4:ifconfig eth0:1 xxx for telnet";  
    echo ">>after you finish operation please shutdown eth:1<<";  
}  

# message  
help;  

echo ">>>> config start!";  
# clear nat tables first(it's selectable)  
iptables -t nat -F;  

# Start Network Forwarding  
echo 1 > /proc/sys/net/ipv4/ip_forward  
sleep 2;  

iptables -t nat -I PREROUTING -d $ETH_OUTER_IP_ADDR -i eth0 -j DNAT --to-destination $TARGET_SERVER_IP_ADDR  

iptables -t nat -I POSTROUTING -d $TARGET_SERVER_IP_ADDR -o eth1 -j SNAT --to-source $ETH_INTER_IP_ADDR  

iptables -t nat -I PREROUTING -d $ETH_INTER_IP_ADDR -i eth1 -j DNAT --to-destination $SOURCE_CLIENT_IP_ADDR  

iptables -t nat -I POSTROUTING -s $TARGET_SERVER_IP_ADDR -o eth0 -j SNAT --to-source $ETH_OUTER_IP_ADDR  

echo ">>>> config finished!";  

 

 

Linux服务器之间同网段IP的端口映射
TpCode的博客
09-24 493
Linux服务器网络环境中,有时候我们需要实现同一个网段内的服务器之间进行端口映射,以便实现服务的访问和通信。其中,是目标服务器的IP地址,是源服务器的IP地址,A是源服务器的本地端口号,B是目标服务器的本地端口号。现在,我们可以在源服务器或其他服务器上测试端口映射是否成功。如果成功连接到源服务器的本地端口A,说明端口映射已经生效,并且可以与目标服务器上的本地端口B通信。其中,A是源服务器的本地端口号,B是目标服务器的本地端口号。
Linux iptables和五链四表相关规则说明
李姓门徒
02-24 1373
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。
Linux主机模拟路由,实现跨网段访问
weixin_41142408的博客
08-17 2646
Linux主机模拟路由,实现跨网段访问1、拓扑图2、给节点描述2.1、修改网卡名2.2、修改IP三、配置路由 1、拓扑图 2、给节点描述 A主机:CentOS7 R1,R2用CentOS8模拟两个路由器,有两块网卡 B主机:Ubantu 设置IP过程包括修改网卡名和设置网卡文件 2.1、修改网卡名 CentOS & Ubantu 1)编辑/etc/default/grub配置文件 [root@centos7 ~]#vim /etc/default/grub GRUB_TIMEOUT=5 GRUB
Linux下实现不同网段之间访问
qq2453939845的博客
04-23 917
linux系统管理员在工作的时候经常会遇到各种不一样的问题,比如linux需要设置不同网段访问问题, 对于很多新手们来说都是感觉非常的有难度,那么我们现在就去看看Linux下实现不同网段之间访问的方法吧。 本实例要说明的是:实现10.0.0.0/24网段与192.168.2.0/24网段相互访问. 步骤1:查看本机IP地址 [root@localhost root]# ifconfig eth0 ...
Linux服务器编程实践16-IP转发的条件与具体操作步骤
文石_2009的博客
10-14 972
本文详细介绍了Linux系统中IP转发的配置与实现方法。核心内容包括IP转发的三个必要条件:通过/proc/sys/net/ipv4/ip_forward启用内核转发功能、正确配置路由表、设置防火墙允许转发。文章以配置Linux主机为局域网网关为例,分步骤说明了临时/永久启用转发、配置路由表和防火墙规则的具体操作,并提供了验证方法和常见问题排查技巧。同时介绍了IP转发在局域网网关、多网段路由器和代理服务器等场景的实际应用。掌握这些知识对Linux服务器运维和网络编程至关重要。
Liunx跨网段通信
weixin_63891022的博客
07-11 468
root@localhost ~]# arping 192.168.147.128 #获取对方的mac地址。[root@localhost ~]# ethtool ens33 #显示网络接口相关信息。[root@localhost ~]# arp -n #显示本地ARP缓存中的条码。[root@localhost ~]# route -n #查看。A主机的默认网关 指向 192.168.147.222。关闭NetworkManager。网关:开启转发(临时)
借助中间linux路由,使设备跨网段访问
weixin_44013441的博客
04-15 765
199.28.38.214回复报文时候,报文目标地址是192.168.1.111,就会走默认路由发到199.28.38.1网关,这个网关是肯定没法访问192.168.1.1.111的,都不在一个交换机上面。这个方案经过上述测试,不通,则放弃。这里gateway要设置成存在的,否则会发送arp报文给gateway,因为gateway不存在,arp无回复,目标地址199.28.38.214的报文就发不出去了。MASQUERADE的意思是,通过哪个网卡发出去,ip包的srcip换成对应网卡的ip,snat转换。
linux不同网络互访,linux 不同网段相互访问
weixin_39638859的博客
05-07 408
eno16777736: flags=4163 mtu 1500inet 192.168.1.96 netmask 255.255.255.0 broadcast 192.168.1.255inet6 fe80::20c:29ff:fe1e:84b5 prefixlen 64 scopeid 0x20ether 00:0c:29:1e:84:b5 txqueuelen 1000 (E...
iptables端口映射实例
weixin_34293902的博客
10-21 301
环境:主机1: IP:192.168.10.25(能访问外网) IP:192.168.100.1(网关)主机2:IP:192.168.100.23(web服务器)要求:192.168.10.0/24网段IP访问web服务器,web服务器也能访问外网。备注:192.168.10.0/24和192.168.100.0/24不能连通。先设置主机2:配置IP...
Linux 利用 IP转发使内网连接到公网
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-06 6102
项目背景描述 实现方法 我们知道,Linux本身自带iptables包过滤,但是其还有一重要功能,即实现数据的转发,本文就利用Linux 自带 iptables 实现从一个网络接口到另一个接口的IP转发(数据包转发)。IP转发的概念是,使 Linux 机器像路由器一样将数据从一个网络发送到另一个网络。所以,它能作为一个路由器或者代理服务器,实现将一个连接的互联网或者网络连接共享给多个客户端机器。 ......
linuxiptables防火墙
TTSuzuka的博客
11-02 1272
iptables就是经常听说的电脑防火墙,主要是防止别人恶意访问。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
不同网段访问服务器
10-10
关于不同网段访问服务器,和多层路由的讲解
通过iptables进行端口转发和映射(需要注意里面的书写顺序)
04-13
通过iptables进行端口转发和映射(需要注意里面的书写顺序)
Linux 防火墙之iptables
weixin_67510296的博客
05-17 5261
文章目录一、iptables 概述1.1 netfilter/iptables关系1.2 iptables 的四表五链二、iptables 配置2.1 iptables 安装2.2 iptables 命令2.3 常见控制类型2.4 管理选项2.5 添加新的规则2.6 查看规则列表2.7 删除、清空规则2.8 设置默认策略三、规则匹配条件3.1 通用匹配3.2 隐含匹配3.3 显示匹配3.4 状态匹配四、总结 一、iptables 概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 ne
通过设置静态路由来实现不同网段可以互相访问的方法
热门推荐
System Architect
04-15 3万+
随着宽带接入的普及,很多家庭和小企业都组建了局域网来共享宽带接入。而且随着局域网规模的扩大,很多地方都涉及到2台或以上路由器的应用。当一个局域网内存在2台以上的路由器时,由于其下主机互访的需求,往往需要设置路由。由于网络规模较小且不经常变动,所以静态路由是最合适的选择。可是如果是多网段,又想实现不同网段电脑互访,设置静态路由就要掌握方法了。     本文作为一篇初级入门类文章,会以几个简单实
linux跨网段间互通
a18796007675的博客
03-16 8150
1.简介 TCP协议规定只有处于同一个网段的IP才能实现互通,如果处于不同网段,可以配置一台双网卡机器为网关然后指定路由线路实现跨网段访问。 实现思路:将双网卡服务器作为一个代理服务器,实现双向网关的一个功能 如上图所示,Proxy作为双向网关 Client如果要实现Server的互通,如果Client和Server在同一个子网段可以直接ping同,但是如果不在同一个网段,Client就会先去找其网关,再由其网关寻找Server,对于Server也是这样。 2.实现方案 2.1代理 1.开启数据包的转发功
Linux 实现不同网段之间的连通
weixin_56829498的博客
11-03 3888
Linux 不同网段之间的连通
通过端口映射连接不同网段的oracle
weixin_33736048的博客
08-18 671
  oracle在内网,只有特殊机器能访问,通过做端口映射,可以以这个特殊机器作为“跳板”完成本机对远程oracle的连接。   “跳板”机器是windows,需要在该机器上执行netsh命令: netsh interface portproxy add v4tov4 listenport=15210 connectaddress=db_srv_ip connectport=1521 ...
Linux下实现不同网段之间的访问
AriesSurfer的专栏
07-20 2014
本实例要说明的是:实现10.0.0.0/24网段与192.168.2.0/24网段相互访问。  步骤1:查看本机IP地址  [root@localhost root]# ifconfig  eth0 Link encap:Ethernet HWaddr 00:0C:29:A7:6E:77  inet addr:10.0.0.120 Bcast:10.0.0.255 Mask:255.255
设备跨网段访问设备是怎么用的
最新发布
11-19
<think> 嗯,用户之前问过网关地址设置的作用和影响,现在又提出了设备跨网段访问的具体使用方法。用户可能是网络管理员或工程师,正在实际部署跨网段访问方案,需要具体操作指导。从用户引用的内容看,ta手头有跨网段网关设备和路由器,但可能对路由配置细节不太熟悉。 用户引用了三个资料:第一个是物通博联网关产品的功能说明,提到IP转换和网段统一;第二个是Keepalived部署中静态路由配置示例;第三个是Windows环境下用route命令添加静态路由的方法。这说明用户需要的是实操层面的指导,而不仅仅是理论说明。 考虑到用户之前的网关相关问题,这次回答要延续技术深度,但侧重操作步骤。需要重点解决: 1)跨网段访问的三种实现方式(网关设备、路由配置、主机配置)的适用场景差异 2)每种方式的具体配置命令和参数说明 3)排错流程(比如用户引用[3]中提到的ping不通问题) 特别要注意的是,用户引用[3]里提到的Windows网络共享设置会影响跨网段发现,这个细节容易被忽略,必须包含在排错建议里。另外工业场景中PLC/CNC设备的特殊要求(如固定UDP端口)也要强调。 用户没有说明具体设备类型(是普通电脑还是工业设备),所以回答要覆盖通用场景。但根据ta引用物通博联网关的描述,工业环境可能性较大,案例部分可以侧重PLC访问示例。 最后生成的相关问题要延续实操路线,比如网关选型、协议转换这些用户下一步可能遇到的痛点。 </think> 以下是设备跨网段访问的完整实现方法及技术要点,结合工业场景进行说明: --- ### **一、跨网段通信的核心原理** 1. **路由寻址机制** 当设备A(`192.168.1.100/24`)访问设备B(`172.16.2.50/24`)时: - 设备A检查目标IP是否在同一子网(通过子网掩码计算) - 若目标在不同子网,数据包发送至**默认网关**(如`192.168.1.1`) - 网关根据路由表进行转发(需配置静态路由或动态路由协议)[^1][^2] 2. **关键公式** 跨网段通信路径满足: $$ \text{源IP} \xrightarrow{\text{网关路由}} \text{目标IP} \quad (\text{当} \ \text{源子网} \neq \text{目标子网}) $$ --- ### **二、三种实现方式及配置步骤** #### ▶ **方式1:专用网关设备(推荐工业场景使用)** ```mermaid graph LR A[PLC 192.168.1.10/24] --> B[跨网段网关] C[MES服务器 172.16.2.20/24] --> B B --> D[统一网段通信] ``` **配置步骤**: 1. **网关部署** - 生产网侧接入:`eth0: 192.168.1.1/24` - 管理网侧接入:`eth1: 172.16.2.1/24` 2. **启用IP转换** - 将PLC的`192.168.1.10`映射为管理网段的`172.16.2.100` 3. **验证连通性** ```bash # 在MES服务器执行 ping 172.16.2.100 # 实际访问PLC ``` > *优势*:无需修改PLC/IP配置,天然隔离生产网与管理网[^1] #### ▶ **方式2:配置静态路由(需网络设备权限)** ```bash # 在生产网网关(192.168.1.1)添加路由 ip route add 172.16.2.0/24 via 172.16.2.1 # 目标网段 → 下一跳 # 在管理网网关(172.16.2.1)添加反向路由 ip route add 192.168.1.0/24 via 192.168.1.1 ``` **验证命令**: ```bash route -n # 查看路由表 traceroute 172.16.2.20 # 跟踪路径 ``` #### ▶ **方式3:主机添加路由(临时调试用)** ```powershell # Windows主机添加永久路由 route add -p 172.16.2.0 mask 255.255.255.0 192.168.1.1 # Linux主机添加路由 ip route add 172.16.2.0/24 via 192.168.1.1 ``` > *注*:需在**每一台**需跨网段访问的设备上配置[^3] --- ### **三、工业场景故障排查清单** | **现象** | **排查点** | **解决命令** | |------------------------|----------------------------|---------------------------------------------| | 单向Ping通(A→B成功,B→A失败) | 1. 目标防火墙策略<br>2. 反向路由缺失 | `netsh advfirewall show allprofile` (Win)<br>`iptables -L` (Linux) | | 完全不通 | 1. 网关配置错误<br>2. 物理链路故障 | `arp -a` 检查网关MAC<br>`tracert 目标IP` 跟踪路径 | | 时通时断 | 1. 网络环路<br>2. IP冲突 | `ping -t 目标IP` 持续测试<br>`arp-scan -l` 扫描冲突IP | **特殊问题处理**: - **网络共享发现失败**(引用[3]案例): 控制面板 → 网络和共享中心 → 启用**网络发现**和**文件共享** - **工业协议不通**: 确认网关是否支持协议穿透(如Modbus TCP端口502需开放) --- ### **四、最佳实践建议** 1. **工业网络拓扑规范** ```mermaid graph TB subgraph 生产网 PLC1[PLC] --- Switch1 HMI[HMI] --- Switch1 end subgraph 管理网 MES[MES] --- Switch2 SCADA[SCADA] --- Switch2 end Switch1 -- 跨网段网关 --- Switch2 ``` 2. **安全加固措施** - 在网关上配置ACL: ```bash # 只允许MES服务器访问PLC iptables -A FORWARD -s 172.16.2.20 -d 192.168.1.10 -j ACCEPT iptables -A FORWARD -j DROP # 默认拒绝其他流量 ``` - 关闭不必要服务:禁用SNMP、Telnet等高风险协议 > **案例**:某汽车厂通过物通博联网关实现PLC跨网段访问,将原15个不同网段设备统一映射至`10.10.1.0/24`网段,维护效率提升60%[^1] --- **
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值