iptables nat 表应用

最新推荐文章于 2025-08-13 07:38:11 发布
最新推荐文章于 2025-08-13 07:38:11 发布
阅读量134 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 python 运维
原文链接:https://my.oschina.net/u/3850965/blog/1830680
本文介绍了如何通过配置NAT表实现不同需求,包括让内部网络的B机器连接外网及让C机器通过特定端口直接连接到B机器的22端口。文中详细展示了开启路由转发、设置iptables规则等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

nat 表应用

  • A 机器两块网卡 ens33(192.168.5.130),ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以相互通信互联。
  • 需求1:可以让B机器连接外网
  • A机器上打开路由转发echo "1">/proc/sys/net/ipv4/ip_forward
  • A上执行iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
  • B上设置网关为192.168.100.1
  • 需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
  • A上打开路由转发 echo "1" >/proc/sys/net/ipv4/ip_forward
  • A上执iptables -t nat -A PREROUTING -d 192.168.5.130 -p tcp --dport 1122 -j DNAT --to 192.168.5.130
  • A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130
  • B上设置网关为192.168.100.1

在虚拟机上添加网卡 imageimage 第二台机器上添加一块网卡 image

[root@xuexi-001 ~]# ifconfig 
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.5.130  netmask 255.255.255.0  broadcast 192.168.5.255
        inet6 fe80::9625:3e1d:12c7:4fe6  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:b3:a2:bf  txqueuelen 1000  (Ethernet)
        RX packets 120  bytes 10318 (10.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 72  bytes 8791 (8.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens33:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.5.150  netmask 255.255.255.0  broadcast 192.168.5.255
        ether 00:0c:29:b3:a2:bf  txqueuelen 1000  (Ethernet)

ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::44c4:9bed:dd1f:6c01  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:b3:a2:c9  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 22  bytes 3300 (3.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 72  bytes 5736 (5.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 72  bytes 5736 (5.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

设置A机器的第二块网卡ens37网卡的IP 为192.168.100.1

[root@xuexi-001 ~]# ifconfig ens37 192.168.100.1/24  ······ 这样设置IP 为临时生效,系统重启后就失效了
[root@xuexi-001 ~]# ifconfig ens37
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.1  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::20c:29ff:feb3:a2c9  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:b3:a2:c9  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 61  bytes 9802 (9.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

设置B机器的网卡ens37 的IP为192.168.100.100

[root@xuexi-001 ~]# ifconfig ens37 192.168.100.100/24  ······ 这样设置IP 为临时生效,系统重启后就失效了
[root@xuexi-001 ~]# ifconfig ens37
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::20c:29ff:feb3:a2c9  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:b3:a2:c9  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 61  bytes 9802 (9.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

image 已经满足需求AB两台机器可以相互使用内网互联,AB机器内网不能访问外网。

需求1:可以让B机器连接外网

A机器上打开路由转发echo "1">/proc/sys/net/ipv4/ip_forward

/proc/sys/net/ipv4/ip_forward 这个配置文件默认是0 是关闭的需要改成“1”,“1”代表打开路由转发。

[root@xuexi-001 ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@xuexi-001 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@xuexi-001 ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@xuexi-001 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
[root@xuexi-001 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    52 PREROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    1    52 PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    1    52 PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  117  8880 OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  117  8880 POSTROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  117  8880 POSTROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  117  8880 POSTROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      ens33   192.168.100.0/24     0.0.0.0/0

B上设置网关为192.168.100.1

[root@xuexi-001 ~]# route add default gw 192.168.100.1

image B机器可以连接公网通信 image B机器连接外网需要设置DNS,设置DNS需要配置文件 vi /etc/resolv.conf

image

  • 需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

  • A上打开路由转发 echo "1" >/proc/sys/net/ipv4/ip_forward

  • A上执行iptables -t nat -A PREROUTING -d 192.168.5.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

[root@xuexi-001 ~]# iptables -t nat -A PREROUTING -d 192.168.5.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22 
[root@xuexi-001 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  111  7144 PREROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  111  7144 PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  111  7144 PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.5.130        tcp dpt:1122 to:192.168.100.100:22
  • A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.5.130
[root@xuexi-001 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.5.130
[root@xuexi-001 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  111  7144 PREROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  111  7144 PREROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  111  7144 PREROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.5.130        tcp dpt:1122 to:192.168.100.100:22

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  145 10993 OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  151 11497 POSTROUTING_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  151 11497 POSTROUTING_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  151 11497 POSTROUTING_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 SNAT       all  --  *      *       192.168.100.100      0.0.0.0/0            to:192.168.5.130
  • B上设置网关为192.168.100.1

iptables 规则备份和恢复

iptables - save > /tmp/ipt.txt 备份

iptables - restore < /tmp/ipt.txt 恢复

转载于:https://my.oschina.net/u/3850965/blog/1830680

iptables nat应用及ipables规则备份及恢复
Linux从入门到弃坑
09-27 579
iptables nat应用 nat应用案例: A机器两块网卡ens33(192.168.141.128)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。 需求:可以让B机器连接外网 解决方法: 1.我们那虚拟机来做实验,机器A需要两块网卡ens33(192.16...
Iptables防火墙、filter控制、nat典型应用(SNAT、DNAT、地址伪装)非常详细!!
weixin_45444133的博客
12-06 1366
关闭firewalld启动iptables服务 关闭firewalld服务器 systemctl stop firewalld.service systemctl disable firewalld.service 下载iptables-server yum -y install iptables-services 启动服务和设置自启: systemctl restart ...
iptables防火墙基本概念与基本语法
5L2g556F5ZWl77yf
09-26 1840
一. 防火墙概述。 防火墙由硬件防火墙,软件防火墙,软硬兼容等。防火墙一般部署在网络边缘,作用于过滤某些字符,IP,根据规则,执行:允许,拒绝,转发,丢弃等。防火墙根据其管理的范围右可以分为可以将其划分为主机防火墙和网络防火墙;根据其工作机制来区分又可分为包过滤型防火墙(netfilter)和代理服务器(Proxy)。我们接下来在这篇笔记中主要说说**包过滤型防火墙(netfilter)。 ...
iptables命令详解1
qq_41768644的博客
01-30 720
iptables 简单介绍
Fedora 18 的samba共享配置
lengyun_5850的专栏
03-21 3451
红色粗字体字为修改后内容,蓝色粗体字为特别注意内容 1,宿主机:windows 8 ,4G内存 2,虚拟机:VMware 9.0.1 3,虚拟主机:VMware下Fedora 18,1G内存。 4,参考文章: 参考文章:详解Fedora Samba配置安装,Setup Samba home share in Fedora 16,Linux系统中的Samba配置 参考:http://pa
CentOS7.3下的一个iptables配置
weixin_34409741的博客
08-16 234
centos7.3默认使用的防火墙应该是firewall,而不是iptables。而我们如果想要再服务器上使用iptables防火墙,在配置防火墙之前,我们需要先关闭firewall,安装iptables。当前环境:[root@localhost~]#cat/etc/redhat-release CentOSLinuxrelease7.3.1611(Core)...
k8s技术预研11--kubernetes网络原理
watermelonbig的专栏
06-11 1万+
关于k8s网络,我们通常有以下问题需要回答:k8s的网络模型是什么Docker背后的网络基础是什么Docker自身的网络模型和局限k8s的网络组件之间是怎么通信的外部如何访问k8s的集群有哪些开源的组件支持k8s的网络模型接下来的内容,就对以上问题的答案进行深入探究。1、k8s网络模型Kubernetes 网络模型设计的一个基础原则是:每个 Pod 都拥有一个独立的 IP 地址,而且假定所有 Po...
iptables的四五链与NAT工作原理
tinychen
02-25 2643
本文主要介绍了iptables的基本工作原理和四五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
iptables防火墙实战:filter与nat应用、扩展规则解析
"10.6章节讲解了iptables防火墙的使用,包括filter控制、扩展匹配、nat的典型应用,以及对相关知识点的总结和解答。文档通过多个案例介绍了iptables的基本管理和应用,如关闭firewalld,启用iptables服务,添加...
Docker Swarm集群搭建
minmin_temuer520的博客
09-21 1420
Docker Swarm集群搭建 环境:
PREROUTING 和 POSTROUTING, SNAT 和 DNAT 剖析
Criss_Leung的专栏
09-15 5665
位置: PREROUTING 和 POSTROUTING是位于NAT中的两条数据中转链。 NATNAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
PREROUTING 和 POSTROUTING, SNAT 和 DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
POSTROUTING与PREROUTING区别
Jis的专栏
12-30 1万+
POSTROUTING与PREROUTING区别 标题: prerouting和postrouting不理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
post routing
油墨豆腐
03-14 618
echo 1 &gt; /proc/sys/net/ipv4/ip_forward iptables - t net -A POSTROUTING -o eth0 -j MASQUERADE
centos 6 防火墙iptables的使用
Rio520的博客
10-18 505
iptables概述: netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。 netfilter/iptables 关系: netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤组成,这些包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用...
Linux从入门到放弃 iptables DNAT端口转发
欠了三年一场梦的博客
02-12 358
配置 [root@7 ~]# iptables -t nat -A PREROUTING -d 192.168.1.1 -p tcp --dport 777 -j DNAT --to-destination 172.16.1.7:22 [root@7 ~]# iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot...
firewalld and iptables
袁湘琴钟意江直树的博客
12-06 267
1 firewalld1.1 firewalld-config使用firewalld-config &命令,后台调用防火墙图形管理。 firewalld分为如下几个网络区。其管理文件在如下目录: 在图形界面更改,可分为立即生效,重启服务失效;和永久更改,需要重启服务。默认开启的网络区为public,可在此更改设定:Options—>Change Default Zone 。默认开启的网络区为p
网路基础-VLAN
最新发布
梦想启航
08-13 1067
VLAN技术详解:构建高效安全网络的关键 VLAN(虚拟局域网)通过逻辑划分将物理局域网隔离为多个广播域,提升网络安全性(需路由跨VLAN通信)并优化流量管理。核心要点包括: VLAN类型:端口/MAC/协议/子网四种划分方式,端口静态分配最常见。 通信机制:同VLAN二层直连,跨VLAN需三层设备路由。 802.1Q标记:Trunk端口保留VLANTag(含VLANID、QoS优先级),Access端口剥离Tag。 转发实例:Access端口隔离不同VLAN,Trunk端口允许多VLAN透传,混合组网需匹
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值