CentOS7 运维 - iptables防火墙 | 规则实例 | SNAT | DNAT | 超详细

最新推荐文章于 2025-03-27 10:17:15 发布
最新推荐文章于 2025-03-27 10:17:15 发布
阅读量2.2k 收藏 8
点赞数 1
分类专栏: 运维 文章标签: linux 运维 centos 服务器 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42427971/article/details/114941827
版权
本文详细介绍了CentOS7中iptables防火墙的工作原理,包括规则表(raw、mangle、nat、filter)和规则链(input、output、forward、prerouting、postrouting)。重点讲解了SNAT和DNAT的转换应用,如何设置SNAT以共享公网IP地址,以及DNAT如何发布内网服务器。同时,文章还提供了iptables命令行配置方法和规则匹配条件的实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CentOS7 运维 - iptables防火墙

一、概述

工作在网络层的IP信息包过滤系统,由netfilteriptables组成,对数据包内IP地址和端口等信息的处理

netfilter 属于内核的防火墙功能体系,由一些数据包过滤表组成,用于控制数据包过滤处理

iptables 属于用户的刚获取管理体系,用于管理Linux防火墙的命令工具

二、规则表

netfilter/iptables后期简称为iptabes,是基于内核的防火墙,其中内置了rawmanglenatfilter
表里有链,链里有规则

① raw表

  • 用于确定是否对该数据包进行状态追踪
  • 规则链 output | prerouting

② mangle表

  • 修改标记数据包,用于流量整形和策略路由等高级应用
  • 规则链 input | output | forward | prerouting | postrouting

③ nat表

  • 地址转换以及修改数据包中源、目标IP地址或端口
  • 规则链 output | prerouting | postrouting

④ filter表

  • 负责数据包的过滤及规则
  • 规则链 input | forward | output

三、规则链

① input

处理入站数据包,匹配目标IP为本机的数据包

② output

处理出站数据包[一般无需额外配置]

③ forward

处理转发数据包,匹配流经本机的数据包

④ prerouting

在路由选择前处理数据包,用来修改目的地址DNAT,类似映射

⑤ postrouting

在路由选择后处理数据包,用来修改源地址SNAT,类似NAT

►规则表优先顺序

数据包到达防火墙时,规则表之间的优先顺序

raw > mangle > nat > filter

►规则链之间的匹配顺序

  1. 主机型防火墙
  2. 入站数据
prerouting -> input -> 本机的应用程序
  1. 出站数据
本机的应用程序 -> output -> postrouting
  1. 网络型防火墙
  2. 转发数据
prerouting -> forward - > postrouting

自上而下一次匹配,找到的规则就停止(LOG除外),如找不到匹配的规则则按默认策略处理(没修改时,默认允许)

四、iptables的安装

若想使用iptables就需要先关闭firewalld

systemctl stop firewalld
systemctl disable firewalld.service

yum -y install iptables iptables-services
systemctl start iptables

① iptables 命令行配置方法

命令格式

iptables [-t 表名] 管理选项 [链名]
最低0.47元/天 解锁文章
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 173
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
CentOS7通过SNAT上网
YongYu_IT的专栏
02-19 539
CentOS7通过SNAT上网问题由来在24机器上开启SNAT在34机器上修改GW 问题由来 局域网里面有两台机器: 192.168.0.24 192.168.0.34 其中24机器是单网卡,可以联网。34机器不能联网。现在需要让34机器通过24机器联网。 这就需要借助SNAT,NAT即“网络地址转换协议”,细分为DNAT(目标地址转换)和SNAT(源地址转换),SNAT主要用于共享上网,今次需要用到的就是SNAT。 在24机器上开启SNAT step1 开启对34的白名单 $ sudo firew
CentOS 7 iptables 防火墙 SNAT DNAT 用法
一直被模仿,从未被超越
04-28 4408
iptables 命令基本参数和用法 iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP] 参数 作用 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F ...............
网络安全人必知的iptables四表五链,黑客技术零基础入门到精通教程
最新发布
Cairo_A的博客
03-27 907
iptablesLinux 系统中的强大防火墙工具,通过四个表(raw、mangle、nat、filter)和五个链(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)对网络数据包进行高效控制和管理。它允许管理员根据不同需求设置规则,以实现数据包的过滤、流量整形、网络地址转换(NAT)和状态跟踪等功能。iptables 可用于精细化管理入站、出站和转发的数据包,保障系统的网络安全,优化流量分配,适合企业网络中的防护与流量控制需求。
Centos7内网服务器上网SNAT
qq_42869878的博客
04-14 957
环境: 服务器A可以上网:192.168.0.248 服务器不只有内网IP:192.168.0.23 1、 分别centos7上的2台主机上关闭firewad [root@centos7 ~]# systemctl stop firewalld 2、代理(服务器A)上打开内核转发 [root@centos7 ~]# echo 1 >/proc/sys/net/ipv4/ip_forward [root@centos7 ~]# sysctl -p /etc/sysctl.conf #使其生...
centos 系统 iptables 应用实例详解
weixin_38387929的博客
12-24 1713
此篇文章记录,通过xl2tp二层传输协议,在阿里云服务器中启用 iptables 服务,把特定端口转发至公司ARM服务器的组网应用。从而解决公司ARM服务器与阿里云服务器之间专用网络传输功能。
CentOS7.2(单网卡iptables)做DNAT访问弹性IP地址端口转发到后端无公网IP的服务器不同端口
zhangmingda3的博客
04-13 814
通过访问有公网IP的主机(192.168.5.221)的13306端口转发到无公网IP的主机192.168.5.94的80端口 环境准备 无弹性IP的主机,和有弹性IP的centos7.4为 同一个VPC 同子网 本例:【无弹性IP主机】192.168.5.94 【有弹性IP主机】192.168.5.221 【安全组互信】192.168.0.94 主机所在安全组
centos 防火墙(firewalld、iptablesDNATSNAT
小白的博客
12-24 1067
multiport :多端口模块​#根据IP范围设置封锁规则​#iprange模块:ip范围模块#--src-range:源IP所有iptables规则都是临时规则,如果需要永久保留规则需要执行如下命令。
Linux--iptables防火墙SNATDNAT策略配置
CN_ChenJian
08-06 1790
文章目录前言一:实验环境1.1:环境准备二:实验过程2.1:Windows客户机设置2.2:web服务器设置2.3:防火墙设置2.3.1:配置网卡2.3.2:关闭Linux虚拟机的防火墙,开启路由转发功能2.3.3:设置DNATSNAT地址映射三:实验结果验证与总结3.1:实验结果验证 前言 NAT包含DNATSNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型
iptables防火墙(二)-SNATDNAT原理与应用
Another_Feng的博客
03-19 1111
@TOC SNAT原理与应用: SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理 修改数据包的源地址。 SNAT转换 SNAT转换前提条件: 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开: vim /etc
Centos7防火墙iptables
liubei_one的博客
03-08 551
防火墙配置iptables,filewalldhttps://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#DNATTARGET三张表介绍:filter负责过滤数据包,包括的规则链有,input,output和forward;nat则涉及到网络地址转换,包括的规则链有,prerouting,postr...
centos7.6——防火墙基础(iptables)——SNATDNAT应用配置
weixin_42099301的博客
08-04 1921
centos7.6——SNATDNAT应用配置 文章目录centos7.6——SNATDNAT应用配置SNATDNAT原理一、实验拓扑图二、实验环境三、实验描述四、实验步骤4.1 防火墙服务器配置4.2 外网服务端配置4.3 内网客户端配置 SNATDNAT原理 一、实验拓扑图 二、实验环境 centos 7.6 三台 防火墙服务器:VM《8》 内网客户端:VM《3》 外网服务端:VM《6》 三台虚拟机都是仅主机模式,基于VMnet1网卡 三、实验描述 四、实验步骤 4.1 防火墙服务器配置
centos7 利用firewalld自建NAT网关
混沌初开
05-14 3740
在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址等,具体的原理有兴趣的百度一下就知道了。在传统机房内几乎都是有路由器的,而路由器也自带网关的功能,基本用不到自建NAT,但是在如今横行的公有云中,却是有着很大的需求,例如阿里云,阿里云内网中没有公网IP的电脑如何通过有公网IP的电脑进行上网,这就需要NAT网关。其他公有云也类似,这里以...
CentOS-iptables-SNAT实践
weixin_53053805的博客
04-27 269
验证服务是否成功可以在客户器直接用ping命令ping baidu.com如果可以ping通则实验成功;如果不成功我们可以从客户机的网关开始ping,一级一级的往上ping就可以查出到底那个步骤出了问题;在配置环境时要注意ip地址是否被占用ping命令使用 ping 命令可以测试 IP 是否能够连通,如果 IP 已经被占用,那么 ping 命令会返回类似 “Destination host unreachable” 或者 “Request timeout” 的错误信息。ARP 命令。
CentOS7iptables之网络地址转换NAT实验(SNATDNAT
coderge's 优快云 Blog.
09-03 4216
实验拓扑图 1 实验环境配置 可以参考这篇文章 :https://blog.youkuaiyun.com/Drifter_Galaxy/article/details/108366661的静态IP、子网掩码、网关配置、路由配置 部分,跟着做,配置好实验环境。 win7: Cent1: Cent2: 2 NAT是做什么的 NAT,即网络地址转换。 第一回合 现在win7想要访问Cent2的Web服务 80端口,就会构造出一个数据包 tcp协议 s:192.168.1.1 d:12.34.5...
centos7 阿里云专有网络利用firewalld自建NAT网关
夏冬丶王阳旭
11-09 7725
此文章不再更新,查看最新版文章和更多内容: 《Centos7 阿里云专有网络VPC自建NAT网关》 ------------------------------------------ 分隔符------------------------------------------ 在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址...
centos 添加DNAT SNAT
javabaidu的专栏
08-25 869
外网服务器IP 101.168.200.22 开放端口8310 内网服务器IP 192.168.55.72 开放端口8310 使访问外网101.168.200.22:8310的请求转发到内网192.168.55.72:8310 前题条件 打开服务器的端口转发 参考文章 [url=http://blog.youkuaiyun.com/michaelzhou224/article/details...
Centos 7 NAT配置
qq_50966485的博客
02-04 892
Centos 7 NAT配置
iptables forward DNAT转发
神之天佑
07-25 4215
1.环境:(3台) [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core)  client           192.168.157.41 iptables       192.168.157.42 server          192.168.157.43 2.关掉firewalld(3...
如何配置snat dnat
03-27
### 配置 SNATDNAT 的方法及示例 #### 1. 配置 SNAT SNAT 是指 **源网络地址转换**,它修改数据包的源 IP 地址。通常用于让内部网络通过 NAT 设备访问外部网络。 以下是配置 SNAT 的具体方法: - 使用 `iptables` 工具来设置规则- 将指定范围内的源 IP 地址替换为公共 IP 地址。 ##### 示例:将内网子网 192.168.1.0/24 转换为外部 IP 地址 203.0.113.5 ```bash iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.5 ``` 这条命令的作用如下: - `-t nat`: 表明操作的是 NAT 表。 - `-A POSTROUTING`: 添加一条规则到 POSTROUTING 链中。 - `-s 192.168.1.0/24`: 指定要转换的源 IP 子网。 - `-o eth0`: 数据包从 eth0 接口发出时执行此规则- `-j SNAT --to-source 203.0.113.5`: 执行 SNAT 并将源地址更改为 203.0.113.5[^5]。 --- #### 2. 配置 DNAT DNAT 是指 **目标网络地址转换**,它修改数据包的目标 IP 地址。通常用于允许外部设备访问特定的服务或端口。 以下是配置 DNAT 的具体方法: - 同样使用 `iptables` 来创建规则- 将发往某个公共 IP 地址的数据包重定向到内部服务的实际 IP 地址和端口号。 ##### 示例:将发送至公网 IP 203.0.113.5 上的 HTTP 请求 (TCP 端口 80) 转发给内网主机 192.168.1.100 的 TCP 端口 80 ```bash iptables -t nat -A PREROUTING -d 203.0.113.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 ``` 这条命令的作用如下: - `-t nat`: 表明操作的是 NAT 表。 - `-A PREROUTING`: 添加一条规则到 PREROUTING 链中。 - `-d 203.0.113.5`: 指定原始目标 IP 地址。 - `-p tcp --dport 80`: 指定协议为 TCP,并匹配目标端口 80。 - `-j DNAT --to-destination 192.168.1.100:80`: 执行 DNAT 并将目标地址更改为目标主机 192.168.1.100 的端口 80[^2]。 --- #### 注意事项 - 在实际环境中,可能还需要启用 IPv4 转发功能以支持 NAT 功能。可以通过以下命令开启转发: ```bash echo 1 > /proc/sys/net/ipv4/ip_forward ``` 或者永久生效可以编辑 `/etc/sysctl.conf` 文件并添加以下内容: ```text net.ipv4.ip_forward=1 ``` 随后运行 `sysctl -p` 应用更改。 - 如果需要保存 `iptables` 规则以便重启后仍然有效,则需根据操作系统安装相应的工具(如 Red Hat/CentOS 中的 `service iptables save` 或 Ubuntu 中的 `iptables-save` 命令)[^4]。 --- ### 总结 以上展示了如何利用 `iptables` 实现 SNATDNAT 的基本配置。这些技术广泛应用于防火墙、路由器以及负载均衡器等场景下,能够显著提升网络安全性和资源利用率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值