iptables filter表小案例,iptables nat表应用

最新推荐文章于 2025-08-22 14:25:18 发布
最新推荐文章于 2025-08-22 14:25:18 发布
阅读量72 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 运维
原文链接:http://blog.51cto.com/754599082/2046254
本文详细介绍了一个bash脚本,用于配置iptables规则以放行特定端口(80、22、21),并针对22端口设置了指定IP段的放行。此外,还介绍了如何通过iptables实现端口映射及NAT表的应用,包括使内部网络机器能够连接外网及通过端口映射实现外部访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求:把80端口、22端口、21端口都放行,其中22端口指定IP段放行。

  • 用一个脚本来实现这个需求。

    #!/bin/bash
    ipt="/usr/sbin/iptables" #定义变量,执行命令时写命令的绝对路径。
    $ipt -F #清空filter表之前的规则
    $ipt -P INPUT DROP #定义INPUT默认策略
    $ipt -P OUTPUT ACCEPT #定义OUTPUT默认策略
    $ipt -P FORWARD ACCEPT #定义FORWAD默认策略
    $ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #指定状态放行
    $ipt -A INPUT -s 192.168.159.0/24 -p tcp --dport 22 -j ACCEPT #指定ip和端口放行
    $ipt -A INPUT -p tcp --dport 80 -j ACCEPT #指定端口放行
    $ipt -A INPUT -p tcp --dport 21 -j ACCEPT #指定端口放行

使用脚本实现需求是因为开始就将INPUT链的默认策略改成了DROP,远程就会断开。

[root@localhost ~]# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
57  4188 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
0     0 ACCEPT     tcp  --  *      *       192.168.159.0/24     0.0.0.0/0            tcp dpt:22
0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 39 packets, 3644 bytes)
pkts bytes target     prot opt in     out     source               destination

使用iptables -nvL命令查看filter表的策略,刚才使用脚本添加的策略已经添加成功。

  • -m state --state[状态]
    • INVALID:无效的封包,例如数据破损的封包状态
    • ESTABLISHED:已经联机成功的联机状态
    • NEW:想要新建立联机的封包状态
    • RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设定了他之后,只要未来由本机发送出去的封包,即使我们没有设定封包的 INPUT 规则,该有关的封包还是可以进入我们主机, 可以简化相当多的设定规则。

禁止外面的机器ping本机

 iptables -I INPUT -p icmp --icmp-type 8 -j DROP

禁ping不代表不能访问,只是ping不同而已。

iptables nat表应用

准备工作

  1. 准备两台虚拟机A、B
  2. A设备上两块网卡,分别为ens33(192.168.159.128),ens37(192.168.100.10),ens33可以上外网,ens44仅可以是内部网络。
  3. B设备上只有ens37(192.168.100.100)仅可以使用内部网络,并且和A设备可以通信。

需求1:可以让B设备连接外网

  • A设备上需要打开路由转发

    [root@centos-01 ~]# cat /proc/sys/net/ipv4/ip_forward
    0
    [root@centos-01 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
    [root@centos-01 ~]# cat /proc/sys/net/ipv4/ip_forward
    1

文件内容默认为0,表示没有开启内核转发。改成1就打开了端口转发。

  • 在nat表POSTROUTING链上增加一条规则

    [root@centos-01 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
    [root@centos-01 ~]# iptables -t nat -nvL
    Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination

    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination

    Chain OUTPUT (policy ACCEPT 4 packets, 304 bytes)
    pkts bytes target prot opt in out source destination

    Chain POSTROUTING (policy ACCEPT 4 packets, 304 bytes)
    pkts bytes target prot opt in out source destination
    0 0 MASQUERADE all -- * ens33 192.168.100.0/24 0.0.0.0/0

-o选项后面跟网卡设备名称,表示出口网卡,MASQUERADE是伪装、冒充的意思。

  • 将B设备的网关(GATEWAY)改成设备A的ip地址

    此时B机器可以连通外网,但是外网机器无法访问B机器,A机器的作用就类似于一个路由器

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口(端口映射)

  • A设备打开路由转发

    [root@centos-01 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

    更改内核设置,打开路由转发功能,默认值是0.设置成1则打开。

  • 在A设备的nat表中增加两条规则(增加之前需要清空nat表中的规则)

    [root@centos-01 ~]# iptables -t nat -A PREROUTING -d 192.168.159.128 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
    [root@centos-01 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.159.128

  • 将B设备的网关设置成A设备的ens37的IP

完成之后,B可以连接外网,还可以使用远程通过连接A的1122端口来进行远程连接。

转载于:https://blog.51cto.com/754599082/2046254

iptables nat含义_iptablesNAT
weixin_39761422的博客
12-21 774
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的netfilter,在这里就简要的讲解下iptablesnat,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
iptables nat含义_iptables 概念及相关规则学习
weixin_35034072的博客
01-02 1025
iptables 不是防火墙,而是一个客户端,通过执行命令将防火墙的配置放置在真正的防火墙框架中,位于用户空间,netfilter 才是真正的防火墙安全框架,位于内核空间。我们可以通过 iptables 对进入主机和从主机的 ip 以及端口进行限制,还可以进行网络转发。下面图片来源于博客 iptables详解:iptables 概念链如上图所示,”链“ 示的是数据流经过的一个一个的关卡,一共有五...
iptables filter案例iptables nat应用
weixin_33862993的博客
11-12 90
需求:把80端口、22端口、21端口都放行,其中22端口定IP段放行。 用一个脚本来实现这个需求。 #!/bin/bash ipt="/usr/sbin/iptables" #定义变量,执行命令时写命令的绝对路径。 $ipt -F #清空filter之前的规则 $ipt -P INPUT DROP #定义INPUT默认策略 $ipt -P OU...
iptables 语法、iptables filter案例
weixin_33946020的博客
03-27 183
1、iptables 语法 查看规则,输入命令 iptables -nvL ,回车,见下图,现在重启下,再查看,见下图,可以看到,规则没有改变。那么规则在哪里保存的呢?见下图,清空规则,使用命令 iptables -F ,见下图,清空规则之后,使用命令 iptables -nvL,就看不到默认规则了,但是配置文件 /etc/sysconfig/iptables 里面的内容没有改变。也就是说,想要...
iptables的“45链”-NAT功能
分享不一样的技术,与你一起共同成长!
04-14 959
 iptables 是 Linux 系统中用于配置防火墙规则的工具,它借助内核中的 netfilter 框架来实现对网络数据包的过滤、网络地址转换(NAT)以及数据包处理等功能。iptables掌握基本的filternat即可,如果实在遇到复杂的需求,再查找相关资料进行满足即可。一般情况下的需求也用不到那么多的操作。
iptables防火墙 filter控制 扩展匹配 nat典型应用
jackjack博客
10-06 245
iptables防火墙 filter控制 扩展匹配 nat典型应用 iptables防火墙 filter控制 扩展匹配 nat典型应用
iptables filter案例iptables nat应用
mojianbin的博客
12-01 609
一、iptables filter案例需求:需要把80端口,22端口,21端口放行,但是22端口需要定一个IP段,只有这个IP段的IP才可以访问到,其他段的一概拒绝vim /usr/local/sbin/iptables.sh 加入如下内容:#! /bin/bash ipt=”/usr/sbin/iptables” ipt−Fipt -F ipt -P INPUT DROP ipt−P
Linux-iptablesfilter)详解
qq_62311779的博客
06-12 6045
目录一、iptables简介 :(1)基本认识:(2) 四五链: 1、“四”是 iptables 的功能 2、“五链”是内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则中包含 多个数据链,防火墙规则需要写入到这些具体的数据链中。 3、 iptables的结构: 4、图解:​二、安装iptables服务: 三、路由转发配置: 四、filte: ——查看 filter 的详细规则—— INPUT 入站链(找我的:—— FORWAR
iptablesnat的学习和实验
北风
01-12 2452
本次实验接着上一篇博客《iptablesfilter的学习和实验》进行(https://blog.youkuaiyun.com/weixin_40042248/article/details/112477946),主要实现iptablesnat的功能。 实验目标:实现在ns1空间访问其他的外部网址、添加nat规则后对数据抓包分析ns1访问ns2或者ns3的过程、实现ns1访问www.baidu.com。 理论知识补充: 1、什么是NATnat:Network Address Translatin,网
iptables简单介绍,filternat简单使用
weixin_41572126的博客
06-05 2047
iptables防火墙 iptables防火墙服务介绍 firewalld(RHEL7/8)iptables(RHEL6及以前的版本) 由于firewalld的底层是基于iptables实现的,因此在使用iptables时建议先把firewalld卸载。 #卸载firewalld [root@localhost ~]# systemctl status firewalld [root@localhost ~]# systemctl stop firewalld [root@localhost ~]#
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
【Linux系统管理】Iptables防火墙规则详解:四五链配置与实战案例分析
04-13
接着阐述了iptables的架构体系,详细解析了四张natfilter、mangle、raw)的功能特性及其优先级,以及五条链(INPUT、OUTPUT、PREROUTING、POSTROUTING、FORWARD)的作用范围。随后,文档对iptables命令行语法...
Linux 防火墙 iptables filternat.pdf
08-14
Linux 防火墙 iptablesfilter(包过滤防火墙)和 nat(路由转换)详解_linux中filternat.pdf
Iptables防火墙、filter控制、nat典型应用(SNAT、DNAT、地址伪装)非常详细!!
weixin_45444133的博客
12-06 1366
关闭firewalld启动iptables服务 关闭firewalld服务器 systemctl stop firewalld.service systemctl disable firewalld.service 下载iptables-server yum -y install iptables-services 启动服务和设置自启: systemctl restart ...
交换机、网络层与传输层原理
m0_46460826的博客
08-19 999
在当今数字化时代,网络通信已成为我们日常生活和工作中不可或缺的一部分。从简单的网页浏览到复杂的视频会议,从即时通讯到云计算服务,所有这些应用都依赖于底层网络技术的支持。然而,对于大多数普通用户来说,网络通信的底层原理往往是一个"黑箱"——我们知道它能工作,却不太清楚它究竟是如何工作的。本文将带您深入探索网络通信的核心层次:数据链路层(交换机原理)、网络层(IP的世界)和传输层(TCP vs UDP)。
三格电子——ModbusTCP 转 Profinet 主站网关应用实例
最新发布
SANGEDZ_YYDS的博客
08-22 339
ModbusTCPClient 通过 ModbusTCP 控制 Profinet 接口设备, Profinet 接口设备接入DCS/工控机等。 产品是ModbusTCP和Profinet(M)网关(以下简称网关),使用数据映射 方式工作。 本产品在ModbusTCP侧作为ModbusTCP从站,接PLC、上位机、wincc屏 等;在Profinet 侧做为Profinet 主站控制器,接Profinet设备,如伺服驱动器。
鸿蒙NEXT即时通讯/IM系统RinbowTalk v2.4版发布,基于MobileIMSDK框架、ArkTS编写
hellojackjiang2011的博客
08-20 293
RainbowTalk是一套基于开源即时通讯讯IM框架 MobileIMSDK 的产品级鸿蒙NEXT端IM系统。纯ArkTS编写、全新开发,没有套壳、也没走捷径,每一行代码都够“纯血”。与姊妹产品RainbowChat和RainbowChat-Web 技术同源,历经考验。
十分钟速通堆叠
ACL
08-21 653
摘要:交换机堆叠技术通过将多台设备逻辑整合为单一管理单元,提升网络可靠性和扩展性。盒式交换机采用堆叠,框式交换机采用集群。堆叠ID标识设备槽位,优先级决定主备角色,逻辑接口需方向对应(1口对2口)。支持链形和环形拓扑,可通过堆叠卡或业务口实现。堆叠分裂时采用MAD机制检测冲突,失败方端口关闭。升级方式包括智能同步、传统重启和平滑分区升级。H3C设备配置示例展示了环形堆叠、BFD检测和分步升级流程,强调操作时序对业务连续性的重要性。
误点钓鱼邮件后的完整处置流程与深度分析
Liu_Bruce的博客
08-22 637
钓鱼攻击是渗透的起点,初始访问的利器。本文将以一名安全工程师的视角,详细梳理从接到报告到闭环的完整应急响应流程,并分享一些实用的分析技巧与工具。处理钓鱼邮件事件是对安全工程师综合能力的考验,它涉及沟通、取证、分析和处置等多个环节。遵循一个清晰的流程()是成功响应的关键。保持冷静,胆大心细,每一次应急响应都是提升企业安全防护能力的宝贵机会。标签:#网络安全 #应急响应 #钓鱼攻击 #数字取证 #恶意软件分析。希望这篇详尽的南能对您和您的团队有所帮助。将受影响的主机视为“犯罪现场”,进行规范的数字取证。
iptables防火墙实战:filternat应用、扩展规则解析
"10.6章节讲解了iptables防火墙的使用,包括filter控制、扩展匹配、nat的典型应用,以及对相关知识点的总结和解答。文档通过多个案例介绍了iptables的基本管理和应用,如关闭firewalld,启用iptables服务,添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值