第1章 iptables filter表小案例
案列:只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.133.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。
#! /bin/bash
ipt="/usr/sbin/iptables" //命令的绝对路径,防止因为环境变量的问题导致命令无法执行
$ipt -F //清空规则
$ipt -P INPUT DROP //默认策略
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //目的是为了让通信更加顺利
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
icmp示例,这里–icmp-type选项要跟-p icmp一起使用,后面指定类型编号。这个8指的是能在本机ping通其他机器,而其他机器不能ping通本机
iptables -I INPUT -p icmp –icmp-type 8 -j DROP
iptables nat表应用
nat表应用
A机器两块网卡ens37(192.168.202.129)、ens33(192.168.100.1),ens37可以上外网,ens33仅仅是内部网络,B机器只有ens33(192.168.100.100),和A机器ens33可以通信互联。
需求1:可以让B机器连接外网
给两台虚拟机添加一块新的网卡
A和B给新的网卡设置为LAN区段
添加自定义名字
iptables filter表案例_第1张图片
A和B都选择LAN区段

iptables filter表案例_第2张图片
iptables filter表案例_第3张图片
A机器命令行添加IP(重启后会失效,如果想永久生效就配置文件)

给另一台B机器的内网网卡添加ip(ifconfig ens33 192.168.100.100/24)

两台机器的内网网卡可以互相ping通,此时A和B可以互相通信,但是A可以上网,B不可以上网。

A机器上打开路由转发 echo “1”>/proc/sys/net/ipv4/ip_forward。
这个文件的内容默认是0,要想使用nat表,网络的转发,就必须修改内核参数,所以需要把该文件内容改为1。

A上执行添加规则iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE,这条规则就是让192.168.100.0这个网段可以上网

B机器上设置网关为192.168.100.1。命令:route add default gw 192.168.100.1。设置完后B机器可以ping通A机器的公网IP即ens37网卡的IP地址

给B机器设置DNS。编辑DNS配置文件/etc/resolv.conf。在配置文件中添加一行nameserver 119.29.29.29。保存退出后就可以上网了,如果不行,可以用命令:systemctl stop iptables关闭防火墙,因为防火墙会干扰。

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
A上打开路由转发echo “1”>/ proc/sys/net/ipv4/ip_forward,因为上面已经做过,所以可以不做。

A机器上执行iptables -t nat -A PREROUTING -d 192.168.202.129 -p tcp –dport 1122 -j DNAT –to 192.168.100.100:22,规则的意思就是比如windows本机IP是192.168.202.1,它的目标IP是192.168.202.129,目标端口是1122,然后端口转发,把它转发到IP为192.168.100.100的22端口,这是进去的包。

执行之前先把之前的规则清除,以免影响,iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE,用D参数删除。

A机器上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT –to 192.168.202.129,从192.168.100.100回来的包经过A机器再做一个SNAT操作,把目标地址改成192.168.202.129,这个目标地址是在我们A机器上往外发出去的源IP,回到window机器上时才能识别,知道是哪个机器的过来的。

给B机器加上网关。命令:route add default gw 192.168.100.1。上面已经做过,所以可以省略。弄完之后原本不可以远程连接的B机器,现在可以通过远程连接A机器的公网IP:192.168.202.129的1122端口来连接B机器。