iptables 的两个小任务

使用小键盘  vt模式 设置为普通

/etc/sysconfig/iptables 重启的时候调用规则

iptables小案例

 vi /usr/local/sbin/iptables.sh //加入如下内容

#! /bin/bash

ipt="/usr/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   让相关的数据包相互连接，这两个状态放行，通信更加顺畅  

$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT 

 icmp示例

 iptables -I INPUT -p icmp --icmp-type 8 -j DROP 禁止ping 本机

 nat表应用

 A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1)，ens33可以上外网，ens37仅仅是内部网络，B机器只有ens37（192.168.100.100），和A机器ens37可以通信互联。

 需求1：可以让B机器连接外网

 A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

 A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

 B上设置网关为192.168.100.1

 需求2：C机器只能和A通信，让C机器可以直接连通B机器的22端口

 A上打开路由转发echo "1">/ proc/sys/net/ipv4/ip_forward

  A上执行iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

 A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

 B上设置网关为192.168.100.1

先做快照，克隆一个虚拟机

添加一块网卡 

nat lan 区段 自定义名字

第一台机器 

第二个机器添加一块网卡

已经有ip了启动时连接去掉  同一个区段 同一块网卡

第一块给37网卡添加ip

命令行添加ip ifconfig ens37 192.168.100.1/24 想要永久生效，要编辑配置文件

一个内网 一个外网

ifdown ens33

ifconfig ens37  192.168.100.100/24

先ping 自己，说明自己连接成功

端口映射

打开端口转发

能ping 通DNS 119.29.29.29，就能ping外网

设置网关  

从哪里来的