Iptables-linux服务器做路由转发

最新推荐文章于 2025-08-05 18:44:41 发布
最新推荐文章于 2025-08-05 18:44:41 发布
阅读量6.6k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liang_operations/article/details/80747510
本文介绍了一种通过服务器B使内部服务器C能够访问互联网的方法。首先配置了服务器B的双网卡,分别连接内外网络,并确保其能正常上网。接着,在内核文件中开启了转发功能并设置了iptables规则来实现路由转发。最后,通过测试验证了配置的有效性。

1.架构图

 

域网上网案例,实现内部服务器C可以经过服务器B进行上网。

2.局域网机器配置


3.服务器配置

3.1服务器双网卡,一块配置外网IP,一块配置内网IP(内网的不要设置网关)

[root@liang ~]# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

    inet6 ::1/128 scope host

       valid_lft forever preferred_lft forever

2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

    link/ether 00:0c:29:03:1e:48 brd ff:ff:ff:ff:ff:ff

    inet 192.168.1.19/24 brd 192.168.1.255 scope global eno16777736

       valid_lft forever preferred_lft forever

3: eno33554976: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

    link/ether 00:0c:29:03:1e:52 brd ff:ff:ff:ff:ff:ff

    inet 10.0.0.141/24 brd 10.0.0.255 scope global dynamic eno33554976

       valid_lft 1555sec preferred_lft 1555sec

    inet6 fe80::20c:29ff:fe03:1e52/64 scope link

       valid_lft forever preferred_lft forever

3.2确保服务器可以上网    

[root@liang ~]# ping -c 2 baidu.com

PING baidu.com (123.125.115.110) 56(84) bytes of data.

64 bytes from 123.125.115.110: icmp_seq=1 ttl=128 time=45.9 ms

64 bytes from 123.125.115.110: icmp_seq=2 ttl=128 time=45.8 ms

 

--- baidu.com ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1002ms

rtt min/avg/max/mdev = 45.807/45.860/45.913/0.053 ms

 

3.3在内核文件/etc/sysctl.conf里开启转发功能,然后执行sysctl -p生效

[root@liang ~]# tail -1 /etc/sysctl.conf  

net.ipv4.ip_forward = 1

 

[root@liang ~]# sysctl -p

net.ipv4.ip_forward = 1

 

3.4配置iptables

[root@liang ~]# iptables -F

[root@liang ~]# iptables -P INPUT ACCEPT

[root@liang ~]# iptables -P FORWARD ACCEPT

[root@liang ~]# iptables -P OUTPUT ACCEPT

3.5路由转发

[root@liang ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 \

-o eno33554976 -j SNAT --to-source 10.0.0.141

 

-s 192.168.1.0/24 内部服务器网段

-o eno33554976 为路由转发服务器的外网网卡

-j SNAT --to-source 10.0.0.141 外网网卡IP地址

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE (伪装,适合外网IP地址变化的配置)

 

4.测试:


笔记来源于:老男孩培训机构教育视频


全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 5162
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
Linux服务器上的路由转发功能配置
XhClojure的博客
09-29 2326
Linux服务器上,路由转发功能允许将来自一个网络接口的数据包转发到另一个网络接口,以实现不同网络之间的通信。本文将详细介绍如何在Linux服务器上开启路由转发功能,并提供相应的源代码示例。为了确保iptables规则在系统重启后不会丢失,需要将规则保存到文件。请注意,这只是一个基本的配置示例,实际的配置可能会因网络环境的不同而有所变化。为了实现路由转发功能,还需要配置iptables规则。在开始配置之前,首先需要检查当前系统的路由转发状态。配置路由转发功能之前,需要确保网络接口正确配置。
linux下使用iptables和iproute2高级路由
11-15
使用iptables配合iproute2策略路由
Linux开启路由转发功能
热门推荐
lemontree1945的博客
06-06 4万+
标记一下,今天想让一台Red Hat Enterprise Linux 7开通iptables的nat转发功能,找了半天。A服务器:192.168.30.20/24B服务器:192.168.30.1/24,eth0;  192.168.40.1/24,eth1C服务器:192.168.40.20/24目标:让A可以ping和ssh到c机器。这就需要通过B服务器来跳转。操作过程:1、在B服务器上开启...
使用iptables转发
最新发布
yhl18931306541的博客
08-05 299
两个无外网IP,且毫不相干的内网地址端口相通。
服务器设置路由转发
m0_58680378的博客
02-12 927
此时虚拟机会虚拟生成一张网卡VMware Network Adapter VMnet8网卡,这张网卡有两个功能一个功能是作为一个网桥,将宿主机和虚拟机两个不同网段的网络进行连接。虚拟机是不能通过网桥访问到主机的网卡的,他们走的路线是:虚拟机->VMnet8虚拟机交换机->虚拟NAT设备->主机网卡->主机。本文章主要讲解如何通过方案二如何实现A电脑如何进行转发数据包,实现B,C,D局域网上的主机可以通过A可以进行连接外网。A服务器有公网,b,c,d没有公网,A,B,C,D之间可以相互通信。
Linux路由转发
qq_40290586的博客
08-05 1095
环境: 机器 IP 系统 A 192.168.0.3 centos7 B 192.168.0.101/24,192.168.47.129/24 centos7 目的: A机器通过B机器路由转发访问192.168.47.0/24网段 一、B机器操作 1、开启内核路由转发 echo "net..
Linux 路由转发实验
qq_28808697的博客
11-17 482
参考:linux 虚拟机模拟配置网络路由环境-简版 删除特定路由: 命令:
iptables路由转发
chenliang0224的专栏
02-21 328
【代码】iptables路由转发
iptables(12)实际应用举例:策略路由iptables转发、TPROXY
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-27 2627
策略路由(Policy-Based Routing, PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。允许管理员根据特定的策略来决定数据包的路由路径,这些策略可以基于数据包的源地址、目的地址、协议类型、端口号等多种因素。路由器将通过PBR决定如何对需要路由的数据包进行处理,PBR决定了一个数据包的下一跳转发路由器。路由策略(Routing Policy)主要是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 3741
iptables模块的使用 FORWARD转发
Linux-iptables
gongwanzhang的博客
05-16 1064
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发
Linux路由转发,实现不同网段的主机互通
jun的博客
04-14 1439
使用VMware搭建环境, 注:为网关服务器,需要开启路由转发功能,开启方式有两种,一个临时,一个永久 总结:
iptables 转发流程图
weixin_34353714的博客
08-07 300
转载于:https://blog.51cto.com/renzhes/1682748
路由转发规则设置方法步骤,内网服务器端口怎么让异地连接访问的实现
csghdn的博客
04-22 2241
‌内部IP地址‌:输入需要接收外部访问请求的内部设备IP地址(如192.168.0.2)。通过以上步骤,您可以成功设置路由器的端口转发规则,实现远程访问或控制内网设备的功能。‌规则名称‌:为规则命名以便识别(如“远程桌面”或“FTP服务”)。‌内部端口‌:指定内部设备上服务运行的端口号(通常与外部端口相同)。‌外部端口‌:指定外部访问时使用的端口号(如80或443)。‌安全性‌:仅转发必要的端口,避免暴露内网设备。‌协议匹配‌:选择正确的协议类型以匹配服务需求。‌端口冲突‌:确保外部端口未被其他服务占用。
Linux 开启路由转发功能
Csdn129341的博客
03-15 2248
想让一台Red Hat Enterprise Linux 7开通iptables的nat转发功能 A服务器:192.168.30.20/24 B服务器:192.168.30.1/24,eth0; 192.168.40.1/24,eth1 C服务器:192.168.40.20/24 目标:让A可以ping和ssh到c机器。这就需要通过B服务器来跳转。 操作过程: 1、在B服务器...
路由-网关及路由转发过程
u013962067的博客
08-21 1099
DNS->UDP->ip (目标DNS服务器IP地址不同网段,寻找网关) ->Ethernet II (查看ARP缓存,不存在网关MAC)服务器A收到,进行FCS检测,通过检测目的MAC是我的MAC,继续交给上层处理。在同一个网段内的源MAC地址是不会变化,非同一个网段的源MAC地址会变化。网关收到,进行FCS帧校验检测,通过检测目的MAC地址是否是我。检测目的IP地址是我,检测协议号为TCP,交给TCP。A:检测FCS,通过检测MAC发现不是我的MAC丢弃。A:源MAC 目的MAC 源IP 目的IP。
路由转发route详解
Super body的博客
10-21 1万+
    广播     路由     lo网卡 什么是广播 广播(BROADCAST): 一对多,局域网内的所有主机都可以广播,如果同一时间多个host同时广播,会造成信息干扰,实现同一广播域内的有效通信 广播地址的表现形式 以太网和IPv4网都用全1的地址表示广播,分别是ff:ff:ff:ff:ff:ff和255.255.25...
如何永久开启Linux服务器路由转发功能?
08-01
<think>我们参考用户提供的引用内容,特别是引用[1]、[3]和[4]中关于永久开启路由转发功能的说明。 用户的问题:如何在Linux系统中永久启用路由转发功能? 步骤: 1. 编辑sysctl配置文件(通常是/etc/sysctl.conf)来永久设置内核参数。 2. 在配置文件中设置`net.ipv4.ip_forward=1`。 3. 重新加载配置文件使设置生效。 具体操作如下: ### 永久开启路由转发功能的步骤 1. **使用root权限编辑sysctl配置文件** 打开终端,使用文本编辑器(如vim或nano)编辑`/etc/sysctl.conf`文件: ```bash sudo vim /etc/sysctl.conf ``` 或者 ```bash sudo nano /etc/sysctl.conf ``` 2. **添加或修改内核参数** 在文件中查找`net.ipv4.ip_forward`参数,如果存在则将其值改为`1`;如果不存在,则在文件末尾添加一行: ```bash net.ipv4.ip_forward = 1 ``` 注意:如果使用IPv6,还需要添加`net.ipv6.conf.all.forwarding=1`(可选)[^3][^4]。 3. **保存并退出编辑器** - 在vim中:按`Esc`键,输入`:wq`,然后按回车。 - 在nano中:按`Ctrl+O`保存,按`Ctrl+X`退出。 4. **重新加载配置文件使设置生效** 执行以下命令,让系统重新加载配置文件并立即应用更改: ```bash sudo sysctl -p ``` - 如果配置文件路径不同(如自定义文件),可使用`sudo sysctl -p /path/to/your.conf`。 5. **验证路由转发功能是否开启** 检查当前内核参数状态: ```bash cat /proc/sys/net/ipv4/ip_forward ``` 或使用sysctl命令: ```bash sysctl net.ipv4.ip_forward ``` - 输出为`net.ipv4.ip_forward = 1`即表示已成功启用[^1][^3]。 ### 注意事项 - **临时开启与永久开启的区别**: 使用`echo 1 > /proc/sys/net/ipv4/ip_forward`可临时开启路由转发,但重启后会失效。通过修改`/etc/sysctl.conf`是永久性修改[^1][^3]。 - **配置文件路径**: 部分系统可能使用`/etc/sysctl.d/`目录下的独立配置文件(如CentOS/RHEL)。可创建新文件(如`99-ipforward.conf`)并写入参数,再执行`sysctl -p`[^4]。 - **IPv6支持**: 若需启用IPv6转发,需在配置文件中添加`net.ipv6.conf.all.forwarding=1`[^3]。 - **安全加固**: 路由功能开启后,务必配置防火墙(如iptables或nftables)限制非法转发,避免安全风险[^2]。 ### 操作示例 ```bash # 步骤1:编辑配置文件 sudo vim /etc/sysctl.conf # 步骤2:添加以下内容(若已存在则修改值) net.ipv4.ip_forward = 1 # 步骤3:保存退出后加载配置 sudo sysctl -p # 步骤4:验证结果 sysctl net.ipv4.ip_forward # 应输出 net.ipv4.ip_forward = 1 ``` 通过以上步骤,Linux服务器路由转发功能将永久开启,即使重启系统也会保持生效[^1][^3][^4]。 §§相关问题§§ 1. 如何临时开启Linux服务器路由转发功能? 2. 路由功能开启后,如何配置防火墙规则防止非法转发? 3. 如何检查Linux服务器是否正在转发数据包? [^1]: 通过修改`/proc/sys/net/ipv4/ip_forward`文件可临时启用路由转发,永久生效需修改配置文件[引用1]。 [^2]: 路由功能启用后需结合防火墙规则加强安全防护[引用2]。 [^3]: 永久开启路由转发需在`/etc/sysctl.conf`中设置`net.ipv4.ip_forward=1`并通过`sysctl -p`加载[引用3]。 [^4]: `sysctl`命令用于管理内核参数,`-p`选项从配置文件加载设置[引用4]。</think>### 如何在Linux系统中永久启用路由转发功能 在Linux系统中永久启用路由转发功能需要修改内核参数配置文件,以下是具体操作步骤: #### 1. **编辑sysctl配置文件** ```bash sudo vim /etc/sysctl.conf ``` 或 ```bash sudo nano /etc/sysctl.conf ``` #### 2. **添加或修改参数** 在文件中找到或添加以下配置项: ```bash net.ipv4.ip_forward = 1 ``` 如果是IPv6环境,还需添加: ```bash net.ipv6.conf.all.forwarding = 1 ``` #### 3. **保存并退出** - Vim:按`ESC`后输入`:wq` - Nano:按`Ctrl+X` → `Y` → `Enter` #### 4. **立即生效配置** ```bash sudo sysctl -p ``` 该命令会加载`/etc/sysctl.conf`中的配置,输出类似: ``` net.ipv4.ip_forward = 1 ``` #### 5. **验证配置** ```bash cat /proc/sys/net/ipv4/ip_forward ``` 输出为`1`表示成功启用[^1][^3][^4]。 #### 6. **(可选)创建独立配置文件** 对于系统化管理的服务器,建议在`/etc/sysctl.d/`创建独立文件: ```bash echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-ipforward.conf sudo sysctl --system ``` ### 关键注意事项 1. **权限要求**:所有操作需`root`权限或`sudo` 2. **配置位置**:优先使用`/etc/sysctl.d/`目录而非直接修改`sysctl.conf`[^4] 3. **防火墙配合**:启用路由后需配置`iptables`或`firewalld`允许转发[^2] 4. **IPv6支持**:双栈环境需同时启用IPv6转发 5. **服务依赖**:某些发行版需启动`network.service`或`systemd-networkd` > **临时启用 vs 永久启用** > 临时启用(重启失效): > ```bash > echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward > ``` > 永久启用需通过配置文件实现[^1][^3] ### 配置示例 完整配置文件示例: ```bash # /etc/sysctl.d/99-ipforward.conf net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.rp_filter = 2 # 松散路由验证 ``` ### 验证路由功能 ```bash # 检查内核参数 sysctl net.ipv4.ip_forward # 测试数据包转发 tcpdump -i eth0 icmp # 在转发接口抓包 ping -c 4 目标IP # 从另一主机测试 ```
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值