linux学习lesson34

最新推荐文章于 2023-12-04 18:19:20 发布
原创 最新推荐文章于 2023-12-04 18:19:20 发布 · 270 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos7

本文详细介绍了iptables在filter表和nat表的应用实例,包括编辑脚本设定规则、拒绝ping请求、实现内网机器上网及端口映射等核心操作,是iptables实践的实用教程。

目录

1 iptables filter表小案例

2 iptables nat表应用

1 iptables filter表小案例

  • 编辑脚本设定规则
vi /usr/local/sbin/iptables.sh //加入如下内容
#! /bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
  • icmp示例,拒绝ping本机 iptables -I INPUT -p icmp --icmp-type 8 -j DROP
  • 没有设置规则前,ping服务器:

  • 设定iptables规则:
[root@worker01 ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP
[root@worker01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 9 packets, 684 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 6 packets, 776 bytes)
pkts bytes target     prot opt in     out     source               destination
  • 在windows机器上,再次ping服务器:

  • 删除icmp规则
[root@worker01 ~]# iptables -D INPUT -p icmp --icmp-type 8 -j DROP

 

 

2 iptables nat表应用

A机器两块网卡eno16777736(192.168.139.100)、eno33554984(192.168.100.1),eno16777736可以上外网,eno33554984仅仅是内部网络,B机器只有eno33554984(192.168.100.100),和A机器eno33554984可以通信互联。

  • 需求1:可以让B机器连接外网

实验准备:

虚拟机的A机器:设置一个内网网卡,一个外网网卡

外网网卡配置:

动态获取ip:

[root@worker1 ~]#dhclient

静态获取ip:

[root@worker1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eno16777736
UUID=32447f57-e011-4b11-97ea-a7fe8a52099a
#DEVICE=eno16777736
ONBOOT=yes
IPADDR=192.168.139.100
GATEWAY=192.168.139.2
NETMASK=255.255.255.0
DNS1=8.8.8.8
DNS2=119.29.29.29

重启网络服务

[root@worker1 ~]# systemctl restart network.service

内网网卡配置:

  • 临时设置:
[root@worker1 ~]# ifconfig eno33554984 192.168.100.1
[root@worker1 ~]# ifconfig eno33554984 192.168.100.1/24
[root@worker1 ~]# ifconfig
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.139.100  netmask 255.255.255.0  broadcast 192.168.139.255
        inet6 fe80::20c:29ff:fee5:56b1  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:e5:56:b1  txqueuelen 1000  (Ethernet)
        RX packets 611  bytes 54252 (52.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 374  bytes 47939 (46.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eno33554984: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.1  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::20c:29ff:fee5:56bb  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:e5:56:bb  txqueuelen 1000  (Ethernet)
        RX packets 35  bytes 11970 (11.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8  bytes 628 (628.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
  • 永久设置:

拷贝原网卡eno16777736的配置文件,进行修改即可

TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eno33554984
#UUID=32447f57-e011-4b11-97ea-a7fe8a52099a
#DEVICE=eno33554984
ONBOOT=yes
IPADDR=192.168.100.1
NETMASK=255.255.255.0

iptables规则设置:(设置前规则前,需要把firewalld关闭)

[root@worker1 ~]# systemctl stop firewalld
  • A机器上打开路由转发

默认:

[root@worker1 ~]# cat /proc/sys/net/ipv4/ip_forward
0
修改:
[root@worker1 ~]# echo "1">/proc/sys/net/ipv4/ip_forward
[root@worker1 ~]# cat /proc/sys/net/ipv4/ip_forward
1
  • A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eno16777736 -j MASQUERADE //eno16777736是外网网卡
[root@worker1 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eno16777736 -j MASQUERADE

 

B机器:设置一个内网网卡

内网网卡配置:

临时设置:

[root@worker1 ~]# ifconfig eno33554984 192.168.100.100/24

永久设置:

拷贝原网卡eno16777736的配置文件,进行修改即可

TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eno33554984
#UUID=32447f57-e011-4b11-97ea-a7fe8a52099a
#DEVICE=eno33554984
ONBOOT=yes
IPADDR=192.168.100.100
GATEWAY=192.168.100.1
NETMASK=255.255.255.0
DNS1=119.29.29.29

B上设置网关为192.168.100.1 如果以上配置内网网卡时候,这里就不用再次配置网关了

网关设置:

route add default gw 192.168.100.1 //临时设置

域名设置:

vim /etc/resolv.conf

nameserver 119.29.29.29

测试B机器连外网:

 

测试成功了

 

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

  • A,B机器网卡如上配置,然后把以上需求1的iptables规则删除
[root@worker1 ~]# iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o eno16777736 -j MASQUERADE
  • A上打开路由转发
[root@worker1 ~]# echo "1">/ proc/sys/net/ipv4/ip_forward
  • A上执行iptables -t nat -A PREROUTING -d 192.168.139.100 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
[root@worker1 ~]# iptables -t nat -A PREROUTING -d 192.168.139.100 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
  • A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.139.100
[root@worker1 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.139.100

B上设置网关为192.168.100.1  (如果以上配置内网网卡时候,这里就不用再次配置网关了)

网关设置:

route add default gw 192.168.100.1 //临时设置

使用xshell远程登录工具测试:

创建远程登录会话

设置好登录的机器的信息(A机器)

设置用户身份认证,这里是选密码登录(A机器)

创建完成后的会话,然后点击连接

成功登录到worker2机器上了(B机器)

 

扩展
1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html

Linux】多用户协作
Octopus2077的博客
11-19 2259
前一个系列【Linux之权限】我们详细地了解了Linux中权限的问题,那么,我们理解了用户间的“隔离”,那么又该怎么进行多用户协作呢?本文就来回答这个问题。
Linux C/C++学习之多进程开发
yyjshang的博客
09-29 1138
进程概述
linux学习lesson68
InfiniteIdea_Go的博客
12-25 385
文章目录1.添加自定义监控项目2.配置邮件警告3.测试警告4.不发邮件的问题处理 1.添加自定义监控项目 需求:监控某台web的80端口连接数,并出图 两步:1)zabbix监控中心创建监控项目;2)针对该监控项目以图形展现 对于第一步,需要到客户端定义脚本 [root@linux02 ~]# vim /usr/local/sbin/estab.sh //内容如下 #!/bin/bash ##...
Linux查看lesson目录,Linux学习(lesson1)
weixin_36132766的博客
04-29 168
用户管理命令总结:一、组相关命令1.groupadd: 新建一个组使用格式:groupadd [-g gid] [-r] groupname选项和参数:-g: 指定组ID-r: 建立一个系统组示例:新建一个名为newgroup的组,组密码为newgroup123groupadd -p 'newgroup123' newgroup2.groupdel: 删除一个组使用格式:groupdel gro...
linux学习lesson3
InfiniteIdea_Go的博客
09-07 295
目录   1 使用PuTTY远程连接Linux 2 使用xshell连接Linux 3 PuTTY密钥认证 4 xshell密钥认证 1 使用PuTTY远程连接Linux 1.1 putty下载地址: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 找到putty.zip包一起下载,根据自己系统位数...
linux学习lesson63
InfiniteIdea_Go的博客
12-19 232
文章目录1.集群介绍2keepalived配置高可用集群扩展 1.集群介绍 根据功能划分为两大类:高可用和负载均衡 高可用集群通常为两台服务器,一台工作,另外一台作为冗余,当提供服务的机器宕机,冗余将接替继续提供服务 实现高可用的开源软件有:heartbeat、keepalived 负载均衡集群,需要有一台服务器作为分发器,它负责把用户的请求分发给后端的服务器处理,在这个集群里,除了分发器外,...
linux学习lesson49
InfiniteIdea_Go的博客
11-26 289
文章目录1 nginx安装2 默认虚拟主机3 nginx用户认证4 nginx域名重定向 1 nginx安装 下载nginx包: [root@linux01 ~]# cd /usr/local/src [root@linux01 src]# wget http://nginx.org/download/nginx-1.15.5.tar.gz 解压nginx包 [root@linux01 src...
linux学习lesson32
InfiniteIdea_Go的博客
10-24 377
目录 1 监控io性能 2 free命令 3 ps命令 4 查看网络状态 5 linux下抓包 1 监控io性能 iostat -x  磁盘使用 [root@worker1 ~]# iostat -x Linux 3.10.0-327.el7.x86_64 (worker1) 10/15/2018 _x86_64_ (2 CPU) avg-cpu: %us...
Linux学习lesson1
InfiniteIdea_Go的博客
09-05 466
目录 1 学习之初 2 约定 3 认识linux 4 安装虚拟机 5 安装centos7 1 学习之初 预习和复习的重要性 当日事当日毕 记笔记(老王学习技巧 论坛) 利用好资源(vip群,论坛) 励志前辈经历 http://ask.apelearn.com/question/6597    2 约定 系统centos7.3系统 虚拟软件VMware workstat...
linux学习 lesson12软件管理
飞翔的罗老汉
10-22 282
一、虚拟机yum源配置 step1 virt-manager打开kris的硬件管理,add Hardware. 打开虚拟机显示镜像已经安装。 step2 建立镜像挂载文件。 挂载成功! step3 编辑系统识别文件。并使其生效。 虚拟机yum源配置成功,可以安装镜像上的软件了 二、yum 命令 yum clean all ##清除原有的yum缓存 repo...
acwing-Linux学习笔记
m0_52695557的博客
12-04 2721
简单的介绍tmux与vim开发项目时的两个编辑环境,此为开发项目时所必备tmux作用1.分屏:可以在一个开发框里分屏2.允许terminal在连接断开之后可以继续运行,让进程不会因为断开连接而中断结构一个tmux可以有一堆session每个sesion可开很多的window每个window可以开很多pane每个pane可以打开一个shell交互如图所示:常规操作前言:tmux创建一个session,session中包含一个window,一个界面就是一个window。
基于C语言的Linux系统学习记录与源码设计
最新发布
10-06
在本项目中,lesson系列文件可能代表了一系列的教学或学习材料,涉及Linux系统的基础知识、特定技术点或实践案例。而progressbar系列文件则可能专注于实现进度条功能,包括不同的版本和优化。submit.c文件可能是一个...
techx-lesson2:学习git
04-11
本教程“techx-lesson2:学习git”旨在帮助你掌握Git的基本概念和操作,以便更有效地管理和协同工作。 1. **Git简介** Git由Linux之父Linus Torvalds创建,主要用于Linux内核开发。它提供了强大的分支和合并功能,...
linux学习lesson15
InfiniteIdea_Go的博客
09-26 2641
目录 1 磁盘格式化 2 磁盘挂载 3 手动增加swap空间 1 磁盘格式化 磁盘格式化命令:mke2fs、mkfs.ext2、mkfs.ext3、mkfs.ext4 和mkfs.xfs 现在以mke2fs为例:常用的参数 -b:表示分区时设定每个数据区块占用的空间大小。目前,每个数据块支持1024B、2048B以及4096B。 -i:表示设定inode的大小。 -N:表示...
linux学习lesson53
InfiniteIdea_Go的博客
11-29 737
文章目录1 php-fpm的pool2 php-fpm慢执行日志3 open_basedir4 php-fpm进程管理 1 php-fpm的pool 支持多个pool的运行网站:隔离站点资源和独立配置 增加一个pool: [root@linux01 ~]# vim /usr/local/php/etc/php-fpm.conf [global] pid = /usr/local/php-fpm/...
linux学习lesson38
InfiniteIdea_Go的博客
11-01 697
目录 1 rsync通过服务同步 2 linux系统日志 3 screen工具 1 rsync通过服务同步 要编辑配置文件/etc/rsyncd.conf 启动服务rsync --daemon [root@linux01 ~]# rsync --daemon 启动后可以查看一下日志,并查看端口是否启动 [root@linux01 ~]# vim /etc/rsyncd.con...
linux学习lesson36
InfiniteIdea_Go的博客
10-30 694
目录 1 linux任务计划cron 2 chkconfig工具 3 systemd管理服务 4 unit介绍 1 linux任务计划cron Linux任务计划功能的操作都是通过crontab命令来完成的,常用的参数有: -u:表示指定某个用户,不加-u选项则为当前用户 -e:表示制定计划任务 -l:表示列出计划任务 -r:表示删除计划任务 编写任务计划的格式 [ro...
linux学习lesson33
InfiniteIdea_Go的博客
10-25 643
目录 1 linux网络相关 2 firewalld和netfilter 3 netfilter5表5链介绍 4 iptables语法 1 linux网络相关 ifconfig查看网卡ip(yum install net-tools) [root@worker1 ~]# yum install -y net-tools ip addr查看网卡ip [root@worker1 ~]...
linux学习lesson35
InfiniteIdea_Go的博客
10-29 513
目录 1 iptables规则备份和恢复 2 firewalld的9个zone 3 firewalld关于zone的操作 4 firewalld源于service的操作 1 iptables规则备份和恢复 保存和备份iptables规则 service iptables save //会把规则保存到/etc/sysconfig/iptables [root@worker1 ~]# ...
解压缩RAR文件:lesson 1入门教程
由于给出的信息中并没有包含可挖掘的IT知识点,我将根据“lesson 1.rar”这一文件名,假设这是一个IT学习资料压缩包,并推测可能包含的IT知识点。请读者注意,以下内容是基于假设而非实际文件内容的分析。 ### 可能...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值