iptables 的两个小案例

使用小键盘  vt模式 设置为普通

/etc/sysconfig/iptables 重启的时候调用规则


iptables 的两个小案例_第1张图片

iptables小案例

vi /usr/local/sbin/iptables.sh //加入如下内容

#! /bin/bash

ipt="/usr/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT让相关的数据包相互连接,这两个状态放行,通信更加顺畅

$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

icmp示例

iptables -I INPUT -p icmp --icmp-type 8 -j DROP 禁止ping 本机

nat表应用

A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。

需求1:可以让B机器连接外网

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

B上设置网关为192.168.100.1

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

A上打开路由转发echo "1">/ proc/sys/net/ipv4/ip_forward

A上执行iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

B上设置网关为192.168.100.1

先做快照,克隆一个虚拟机

添加一块网卡

nat lan 区段 自定义名字

第一台机器第二个机器添加一块网卡


iptables 的两个小案例_第2张图片

已经有ip了启动时连接去掉  同一个区段 同一块网卡


iptables 的两个小案例_第3张图片



iptables 的两个小案例_第4张图片

第一块给37网卡添加ip

命令行添加ip ifconfig ens37 192.168.100.1/24 想要永久生效,要编辑配置文件

一个内网 一个外网

ifdown ens33

ifconfig ens37  192.168.100.100/24

先ping 自己,说明自己连接成功


iptables 的两个小案例_第5张图片

打开端口转发

iptables 的两个小案例_第6张图片

设置网关

iptables 的两个小案例_第7张图片


能ping 通DNS 119.29.29.29,就能ping外网

iptables 的两个小案例_第8张图片

端口映射

iptables 的两个小案例_第9张图片

从哪里来的


你可能感兴趣的:(iptables 的两个小案例)