防火墙和NAT架设(包括WEB重定向的NAT)

最新推荐文章于 2024-07-28 00:15:00 发布
最新推荐文章于 2024-07-28 00:15:00 发布
阅读量140 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 awk
原文链接:http://www.cnblogs.com/helloweworld/p/3152045.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96

#!/bin/bash
#written by 新浪微博@小山best 2013/6/24
#1.只有经过该脚本绑定的MAC才可通过本机访问外网,其余MAC一律被拒绝访问外网。
#2.该脚本的$1$2为新添加的MAC和描述,且重定向到allowmac.txt中。
#3.除该脚本中默认允许通过的MAC外,脚本还从allowmac.txt中读取允许通过的MAC
#4.该脚本还进行WEB重定向,即凡是访问本机外网网卡地址的80端口请求转向web服务器192.168.0.30.
 
#打开IP转发功能,相当于让内核做路由
echo "1" > /proc/sys/net/ipv4/ip_forward
 
###清除iptables规则
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
###清除iptables规则
 
###设置默认规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP  #只有FORWARD链默认DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
###设置默认规则
 
###设置访问本机规则(注意INPUT默认规则和上面默认规则冲突,二者选其一)
#iptables -P INPUT DROP
#以下为允许访问本机的MAC,分别为FengYangshanEthernet/LapTopWireless
#iptables -s 219.245.89.201 -d 219.245.89.102 -p udp --dport 177 -j ACCEPT
#iptables -A INPUT -s 219.245.89.201 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 177 -j ACCEPT
#iptables -A INPUT -m mac --mac-source 20:6a:8a:43:ba:e3 -j ACCEPT
#iptables -A INPUT -m mac --mac-source 20:7c:8f:6b:e6:7c -j ACCEPT
###设置访问本机规则(注意INPUT默认规则和上面默认规则冲突,二者选其一)
 
###web重定向用到的语句。
#下面两条命令保证外网主机可以访问WEB服务器。
#将到达网关的目的地址是219.245.89.0/24、端口为80的包重定向到192.168.0.30.(即DNAT,将目的地址是219.245.89.0/2480的包的目的地址改为192.168.0.30
iptables -t nat -A PREROUTING --dst 219.245.89.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30
iptables -t nat -A PREROUTING --dst 219.245.89.0/24 -p udp --dport 80 -j DNAT --to-destination 192.168.0.30
#只有上面的命令,局域网内部主机在浏览器里输入网关外网地址是不能访问WEB服务器的,必须添加下面两条命令。
#将到达网关的目的地址是192.168.0.3080的包将其源地址替换为192.168.0.1.
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.30 --dport 80 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.30 --dport 80 -j SNAT --to-source 192.168.0.1
#下面两条命令使得网关在浏览器里输入网关外网地址时重定向到WEB服务器。没有这两条命令,在网关浏览器输入网关外网地址时将访问网关自己的WEB服务器(如果网关主机上架设了WEB服务器)。
iptables -t nat -A OUTPUT --dst 219.245.89.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30
iptables -t nat -A OUTPUT --dst 219.245.89.0/24 -p udp --dport 80 -j DNAT --to-destination 192.168.0.30
###web重定向用到的语句。
 
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
 
###本脚本默认允许访问外网的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 22:33:44:55:66:77 -j ACCEPT
###本脚本默认允许访问外网的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
 
###重定向脚本的$1 $2
#eg:sudo MyFireWall.sh 00:00:00:00:00:00 ZhangSan
#意思是将00:00:00:00:00:00 ZhangSan作为一行添加到addmac.txt
#if else 避免将空行赋到allowmac.txt
#当前用户桌面上是否存在allowmac.txt,不存在则创建
if [ -a ~/桌面/AllowMAC.txt ];then
        :
else
        /bin/touch  ~/桌面/AllowMAC.txt
        chmod 766   ~/桌面/AllowMAC.txt
fi
if [ $1 ];then
        echo $1 $2 >> ~/桌面/AllowMAC.txt
else
        :
fi
###重定向脚本的$1 $2
 
###AllowMAC.txt读取用户添加的MAC,并允许其访问外网
#管道|read即读取cat显示的文件的每一行,并将以行存在LINE变量中。
cat ~/桌面/AllowMAC.txt | while read LINE
do
usermac=`echo $LINE | awk '{print $1}'`
#username=`echo $LINE | awk '{print $2}'`
#echo \# $username >> /bin/MyFireWall.sh
#if else 语句的作用是避免将读到的空行作为MAC赋给iptables语句。
if [ $usermac ];then
        iptables -A FORWARD -m mac --mac-source $usermac -j ACCEPT
else
        :
fi
done
###AllowMAC.txt读取用户添加的MAC,并允许其访问外网

 

 

 

 

 

#!/bin/bash
#written by 新浪微博@小山best 2013/6/24 
#1.只有经过该脚本绑定的MAC才可通过本机访问外网,其余MAC一律被拒绝访问外网。
#2.该脚本的$1和$2为新添加的MAC和描述,且重定向到allowmac.txt中。
#3.除该脚本中默认允许通过的MAC外,脚本还从allowmac.txt中读取允许通过的MAC。
#4.该脚本还进行WEB重定向,即凡是访问本机外网网卡地址的80端口请求转向web服务器192.168.0.30.
 
#打开IP转发功能,相当于让内核做路由
echo "1" > /proc/sys/net/ipv4/ip_forward
 
###清除iptables规则
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
###清除iptables规则
 
###设置默认规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP  #只有FORWARD链默认DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
###设置默认规则
 
###设置访问本机规则(注意INPUT默认规则和上面默认规则冲突,二者选其一)
#iptables -P INPUT DROP
#以下为允许访问本机的MAC,分别为FengYangshanEthernet/LapTopWireless
#iptables -s 219.245.89.201 -d 219.245.89.102 -p udp --dport 177 -j ACCEPT
#iptables -A INPUT -s 219.245.89.201 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 177 -j ACCEPT
#iptables -A INPUT -m mac --mac-source 20:6a:8a:43:ba:e3 -j ACCEPT
#iptables -A INPUT -m mac --mac-source 20:7c:8f:6b:e6:7c -j ACCEPT
###设置访问本机规则(注意INPUT默认规则和上面默认规则冲突,二者选其一)
 
###web重定向用到的语句。
#下面两条命令保证外网主机可以访问WEB服务器。
#将到达网关的目的地址是219.245.89.0/24、端口为80的包重定向到192.168.0.30.(即DNAT,将目的地址是219.245.89.0/24:80的包的目的地址改为192.168.0.30)
iptables -t nat -A PREROUTING --dst 219.245.89.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30
iptables -t nat -A PREROUTING --dst 219.245.89.0/24 -p udp --dport 80 -j DNAT --to-destination 192.168.0.30
#只有上面的命令,局域网内部主机在浏览器里输入网关外网地址是不能访问WEB服务器的,必须添加下面两条命令。
#将到达网关的目的地址是192.168.0.30:80的包将其源地址替换为192.168.0.1.
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.30 --dport 80 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.30 --dport 80 -j SNAT --to-source 192.168.0.1
#下面两条命令使得网关在浏览器里输入网关外网地址时重定向到WEB服务器。没有这两条命令,在网关浏览器输入网关外网地址时将访问网关自己的WEB服务器(如果网关主机上架设了WEB服务器)。
iptables -t nat -A OUTPUT --dst 219.245.89.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30
iptables -t nat -A OUTPUT --dst 219.245.89.0/24 -p udp --dport 80 -j DNAT --to-destination 192.168.0.30
###web重定向用到的语句。
 
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
 
###本脚本默认允许访问外网的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
iptables -A FORWARD -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 22:33:44:55:66:77 -j ACCEPT
###本脚本默认允许访问外网的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
 
###重定向脚本的$1 $2
#eg:sudo MyFireWall.sh 00:00:00:00:00:00 ZhangSan
#意思是将00:00:00:00:00:00 ZhangSan作为一行添加到addmac.txt中
#if else 避免将空行赋到allowmac.txt中
#当前用户桌面上是否存在allowmac.txt,不存在则创建
if [ -a ~/桌面/AllowMAC.txt ];then
        :
else
        /bin/touch  ~/桌面/AllowMAC.txt
        chmod 766   ~/桌面/AllowMAC.txt
fi
if [ $1 ];then
        echo $1 $2 >> ~/桌面/AllowMAC.txt
else
        :
fi
###重定向脚本的$1 $2
 
###从AllowMAC.txt读取用户添加的MAC,并允许其访问外网
#管道|read即读取cat显示的文件的每一行,并将以行存在LINE变量中。
cat ~/桌面/AllowMAC.txt | while read LINE
do
usermac=`echo $LINE | awk '{print $1}'`
#username=`echo $LINE | awk '{print $2}'`
#echo \# $username >> /bin/MyFireWall.sh
#if else 语句的作用是避免将读到的空行作为MAC赋给iptables语句。
if [ $usermac ];then
        iptables -A FORWARD -m mac --mac-source $usermac -j ACCEPT
else
        :
fi
done
###从AllowMAC.txt读取用户添加的MAC,并允许其访问外网

转载于:https://www.cnblogs.com/helloweworld/p/3152045.html

《TCP/IP协议族》:NAT协议详解
yexiang优快云的专栏
12-27 1921
NAT 1.1 简介 NAT (Network Address Translator) 是一种用于将局域网中的私有地址转换成全局 IP 地址的技术。 NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一...
Centos8.5.2111(2)之基于docker容器的SELinux及防火墙配置与管理
最新发布
wusam的专栏
09-28 1580
相应地,firewalld提供了九个区域的配置文件,分别是trusted.xml、home.xml、work.xml 、public.xml、dmz.xml、block.xml、drop.xml、internal.xml、external.xml,他们都保存在“/usr/lib/firewalld/zones/”目录下。-rw-------. 1 root root system_u:object_r:var_log_t:s0 2121223 9月 19 21:13 /var/log/messages。
52.华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验
迷逝
03-13 2449
如图所示,由于业务需要,用户有访问Internet的需求。用户通过接入层交换机SwitchB核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。配置思路。
网络地址转换(Nat)做到端口重定向
似羽尤凌
11-25 2222
Server Port的计算机自动连接?那么这时候你就需要用到端口重定向功能(网络地址转换Nat),下面我将为大家讲解如何使用网络地址转换(Nat)做到端口重定向. 第一步:您需要确定您的计算操作系统是否是Win2000因为只有在Win2000里面才会提供路由远程访问服务确定了你的操作系统以后你就可以进行下一步的操作了,首先你要找到控制面板里的路由远程访问然后打开它. 第二步:请你在操作菜单上
妙用DNS解析实现防火墙客户的重定向()
ciya3282的博客
08-13 411
妙用DNS解析实现防火墙客户的重定向()[@more@]   前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其...
网页重定向导致防火墙NAT失效问题
weixin_34364071的博客
05-31 1015
某地政府部门A与部门B之间需要建立连接,部门A需要访问部门B的某网站,在部门A与部门B之间使用防火墙进行隔离并使用目的NAT功能。 如图,防火墙左边为部门A,右边为部门B,防火墙由于没有规划互联地址,使用终端网段内一地址作为接口地址,并用此地址作为目的NAT使用。终端访问151接口地址,经过NAT转换后,转为访问部门B服务器。 防火墙配置完成后,测试PING正常...
NAT网络地址转换简介
guotianqing的博客
07-11 3766
概述 NAT(Network address translation)网络地址转换,是指在数据通过路由设备传输时,通过修改ip报文头部中网络地址信息,把一个ip地址重定向为另一个ip地址。 当一个网络迁移时,需要为每台主机重新分配ip地址,但使用了NAT后,就不需要了。各个主机可以仍然保持原有ip地址不变,改变的工作已经由NAT完成了。 NAT的使用还可以避免Ipv4地址分配消耗怠尽的...
NAT技术及应用
honeyJ
05-28 4783
之前我们讨论了, IPv4协议中, IP地址数量不充足的问题。 (对于IP协议请看文章这里写链接内容) 我们再来了解一个技术:NAT技术(网络地址转换) 什么是NAT NAT技术是当前解决IP地址不够用的主要手段, 是路由器的一个重要功能。 NAT能够将私有IP对外通信时转为全局IP. 也就是就是一种将私有IP全局IP相互转化的技术方法。 简单点说,就是在局域网中使用内部地址,...
防火墙——SNATDNAT策略的原理及应用、防火墙规则的备份、还原抓包
Linux运维老纪的博客
07-28 1242
Linux 防火墙在很多时候承担着连接企业内、外网的重任,除了提供数据包过滤功能以外,还提供一些基本的网关应用。本章将学习 Linux 防火墙的SNATDNAT 策略,分别掌握两个典型的应用:局域网共享一个公网 IP 地址接入 Internet;向 Internet 发布位于内网的应用服务器。本章还将学习防火墙脚本的使用。
WebRTC源码研究(25)NAT打洞原理
kyl282889543的博客
06-17 2634
文章目录WebRTC源码研究(25)NAT打洞原理 WebRTC源码研究(25)NAT打洞原理
ENSP 防火墙USG6000V NAT 设置(全场景)
sgslwms的博客
06-22 1万+
防火墙作为出口网关做源NAT的情况
20. 详解 OpenWrt 防火墙配置NAT配置
weixin_38387929的博客
06-12 3万+
1 OpenWrt 内置防火墙介绍 Openwrt 是一个 GNU/Linux 的发行版, Openwrt 的防火墙实现与Linux的防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。 OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。 防火墙文件总会在/etc/init.d/firewall 启动的时候由 UCI 解码并且
网络地址转换NAT原理
每天学习一点点,成长一小步
06-11 2653
NAT:它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。因此我们可以认为,NAT在一定程度上,能够有效的解决公网地址不足的问题。
iptables的Nat转发端口重定向
weixin_34375054的博客
04-11 590
操作环境: win7_64bit + CentOS6.0 打一开始做Nat转发就很郁闷做了好几天不成功,后来与老师交流了一下 回家又自己研究琢磨了一下,现在能把iptables基本的转发端口重定向等等功能实现。 Nat 端口重定向: A: 192.168.6.125 B: 192.168.6.124 B里挂...
NAT转发一些细节的汇总
810364804
07-02 1265
NAT的基本原理并不复杂,但是在落实到具体的软件实现中,还是有很多的细节值得玩味的。 NAT的基本原理并不复杂,只是在网关设备上维护私网地址(端口)到公网地址(端口)的映射关系,通过修改流经网关的IP报文头部实现地址转换。由于NAT是IP转发流程中的一个环节,具体的实现势必软硬件密切相关。为了尽可能提高设备转发报文处理的性能,软件数据结构处理流程会应根据设备硬件的特点进行设计。本节我们...
网络地址转换NAT原理(易于理解)
热门推荐
风叶
04-14 8万+
节选自:芷菁博客 http://www.stars625.com/nat.html 感谢人家的贡献,我转发到自己博客是为了以后温习方便。 这是做路由器的时候,学习网络地址转换Network Address Translation后的一些理解整理,主要通过实例图表的方式展示了NAT的工作原理每个阶段的状态。本文的NAT是基本于Linux下的iptables命令实现
java 重定向转发的区别
weixin_33785108的博客
10-27 1283
response.sendredirect("http://www.foo.com/path/error.html"); 重定向转发有一个重要的不同:当使用转发时,JSP容器将使用一个内部的方法来调用目标页面,新的页面继续处理同一个请求,而浏览器将不会知道这个过程。 与之相反,重定向方式的含义是第一个页面通知浏览器发送一个新的页面请求。因为,当你使用重定向时,浏览器中所显示的URL会变成新页面的...
华为防火墙NAT开放安全策略配置教程
此外,华为防火墙NAT安全策略支持图形界面的配置,用户可以通过Web或者网管软件界面进行图形化配置,操作更为直观简单。使用图形界面时,用户只需选择相应的菜单项,然后按照提示输入必要的参数信息即可完成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值