netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。
a、容器
包含或者说属于的关系
b、Netfilter/iptables是表的容器
iptables包含的4张表:filter(默认,常用),NAT(常用),MANGLE(不常用),RAW(不用管),分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
c、iptables的表tables又是链(chains)的容器
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。
链(chains)有5种:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING。
注意:链名要大写
表跟链的关系
d、链chains是规则容器
INPUT——进来的数据包应用此规则链中的策略
OUTPUT——外出的数据包应用此规则链中的策略
FORWARD——转发数据包时应用此规则链中的策略
PREROUTING——对数据包作路由选择前应用此链中的规则(记住!所有的数据包进来的时侯都先由这个链处理)
POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
e、规则Policy:一条条过滤的语句。
规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
a、filter表的作用
filter表,主要是和主机自身有关的配置,是真正负责主机防火墙功能的表(过滤流入和流出主机的数据包)。filter表是iptables默认使用的表(没有用-t参数指定表名的情况下,默认为filter表,如iptable -L -n).
filter表的控制是实现本机防火墙功能的重要手段,特别是对INPUT链的控制。
b、filter表包含的链
filter表定义了如下3个链:
INPUT:负责过滤所有目标地址是本机地址的数据包(也就是过滤进入主机的数据包)。
FORWARD:负责转发流经主机的数据包。起转发的作用,和NAT关系很大。LVS NAT模式设置:net.ipv4.ip_forward=0
OUTPUT:负责过滤所有源地址是本机地址的数据包(也就是过滤从主机发出去的数据包)。
a、nat表的作用
nat表主要是负责网络地址转换,将来源与目的ip地址和port进行转换。和主机本身无关。一般用于局域网共享上网或者特殊端口转换服务相关。相当于网络的acl控制。和网络交换机acl类似。
b、一般企业工作场景
(i)用于做企业路由(zebra)或网关(iptables),共享上网(POSTROUTING)
(ii)做内部外部IP地址一对一映射(DMZ),硬件防火墙映射IP到内部服务器,FTP服务。(PREROUTING)
(iii)Web,单个端口的映射,如直接映射到80端口(PREROUTING)
c、nat表包含的链
OUTPUT:和主机发出去的数据包有关。改变主机发出数据包的目标地址。
PREROUTING:在数据包到达防火墙时,进行路由判断之前执行的规则。作用是改变数据包的目的地址、目的端口等。
POSTROUTING:在数据包离开防火墙进,进行路由判断之后执行的规则。作用是改变数据包的源地址、源端口等。
主要是负责修改数据包中特殊的路由标记,如TTL、TOS、MARK等。共定义了5个链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING。
Raw——mangle——nat——filter。规则链之间的优先顺序(分三种情况):
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。
来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后会进行路由选择,如果数据包的目标地址是其它外部地址(比如局域网用户通过网关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包的地 址等)进行处理。
防火墙本机向外部地址发送的数据包(比如在防火墙主机中测试公网DNS服务器时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理。
iptables防火墙规则的执行顺序默认从前到后(从上到下)依次执行,遇到匹配的规则就不在继续向下检查,只有遇到不匹配的规则才会继续向下进行匹配。
(1)防火墙是层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
(2)如果匹配规则成功,即明确表明是阻止还是通过,数据包就不在向下匹配新规则了。
(3)如查所有规则中没有明确表明是阻止还是通过,也就是没有匹配成功,向下进行匹配,直到匹配默认规则得到明确的阻止或通过。
(4)防火墙默认规则应放在最后,是所有规则执行完后才会执行的。
(5)匹配上了拒绝规则也是匹配。
基本格式:iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
完全格式:iptables -t 表名 -A/I/D/R 规则链名 [规则号] -i/o 网卡名-p 协议名 -s 源IP/源子网 --sport 源端口-d 目标IP/目标子网 --dport 目标端口 -j 动作
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。
-A 在指定链的末尾添加(append)一条新的规则
-D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I 在指定链中插入(insert)一条新的规则,默认在第一行添加
-R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L 列出(list)指定链中所有的规则进行查看
-E 重命名用户定义的链,不改变链本身
-F 清空(flush)
-N 新建(new-chain)一条用户自己定义的规则链
-X 删除指定表中用户自定义的规则链(delete-chain)
-P 设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n 使用数字形式(numeric)显示输出结果
-v 查看规则表详细信息(verbose)的信息
-V 查看版本(version)
-h 获取帮助(help)
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-j目标:指定要跳转的目标;
-i网络接口:指定数据包进入本机的网络接口;
-o网络接口:指定数据包要离开本机所使用的网络接口。
-d:指定要匹配的数据包目标ip地址;
-sport:指定要匹配的数据包源端口;
-dport:指定要匹配的数据包目标端口;
ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给任何回应信息(优于REJECT)
REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则
iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载
使用命令iptables-save来保存规则。一般用iptables-save > /etc/sysconfig/iptables生成保存规则的文件 /etc/sysconfig/iptables。
也可以用service iptables save它能把规则自动保存在/etc/sysconfig/iptables中。当计算机启动时,rc.d下的脚本将用命令iptables-restore调用这个文件,从而就自动恢复了规则。
iptables -h
iptables -V
iptables v1.4.7
/etc/init.d/iptables start
service iptables status
iptables: Firewall is not running.
service iptables status
iptables: Firewall is not running
a、setup
b、选择Firewallconfiguration
c、用空格键将Firwall:[]Enabled选中,Firwall:[*]Enabled
d、保存退出
/etc/init.d/iptables start
service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
。。。
lsmod | egrep "nat|filter|ip"
ip6t_REJECT 3987 2
nf_conntrack_ipv6 7207 2
nf_defrag_ipv6 8897 1 nf_conntrack_ipv6
ip6table_filter 2245 1
ip6_tables 10867 1 ip6table_filter
ipt_REJECT 1867 2
nf_conntrack_ipv4 7694 2
nf_defrag_ipv4 1039 1 nf_conntrack_ipv4
nf_conntrack 65428 3nf_conntrack_ipv6,nf_conntrack_ipv4,xt_state
iptable_filter 2173 1
ip_tables 9567 1 iptable_filter
ipv6 264059 36ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6,cnic
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
iptables -L -n
Chain INPUT (policy ACCEPT)
target prot optsource destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcpdpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot optsource destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot optsource destination
iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:35578
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:35579
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:35577
iptables -F 或iptables --flush
ipbatles -X或iptables --delete-chain
iptables -Z或iptables --zero
iptables -t filter -D INPUT -p tcp --dport22 -j DROP
#删除INPUT链的第一条规则:iptables -D链名 序号
iptables -D INPUT 1
iptables -t filter -A INPUT -p tcp --dport22 -j DROP
iptables -t filter -I INPUT -p tcp --dport22 -j DROP
iptables -t filter -I INPUT 3 -p tcp--dport 22 -j DROP
-A是在指定链的结尾处增加规则,是最后一条。
-I是在指定链的开始处增加规则,是第一条。
一般情况下,封IP,用-I来封,防止前面规则已放行。封端口,用-A来封。
a、方法一
iptables-save > /etc/sysconfig/iptables
b、方法二
service iptables save
a、用冒号":"来指定连接端口
iptables -A INPUT -p tcp --dport 20:1024 -jACCEPT
b、用-m和逗号","来指定多个端口
iptables -A INPUT -p tcp -m multiport--dport 20,21,25,110,1250:1280 -j ACCEPT
a、子网
iptables -A INPUT -i eth1 -s 192.168.0.0/16-j DROP
b、-m iprange--src-range
iptables -A INPUT -p tcp -m iprange--src-range 192.168.1.20-192.168.1.99 -j DROP
iptables -I INPUT -p !tcp -j DROP
iptables -A INPUT !--dport 22 -j DROP
iptables -I INPUT -s ! 192.168.1.111 -j DROP
a、格式
iptables -t [table] -[AD] chainrule-specification [options]
b、命令
iptables -t filter -A INPUT -p tcp --dport22 -j DROP
iptables -A INPUT -p tcp --dport 22 -j DROP
c、恢复ssh连接
(i)物理(或虚拟终端)重启系统
(ii)登陆服务器删除此禁止规则:
iptables -F
iptables -t filter -D INPUT -p tcp --dport22 -j DROP
/etc/init.d/iptables stop
d、说明
(i)iptables默认用的表是filter表,所以上面2条命令是等价的。
(ii)其中INPUT和DROP要大写
(iii)命令执行的规则,仅仅在内存时临时生效。
iptables -t filter -A INPUT -p tcp --dport 80-j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -D INPUT 1
说明:这是通过序号来删除规则。序号可以通过--line-numbers参数来查看
iptables -L -n --line-numbers
iptables -I INPUT -p icmp -j REJECT
iptables -A FORWARD -p ! icmp -j ACCEPT
说明:使用"!"可以将条件取反。
iptables -A FORWARD -s 192.168.1.11 -jREJECT
iptables -A FORWARD -s 192.168.0.0/24-j ACCEPT
说明:注意要把拒绝的放在前面不然就不起作用了啊。
iptables -A INPUT -i eth1 -s 192.168.0.0/16-j DROP
iptables -A INPUT -i eth1 -s172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s10.0.0.0/8 -j DROP
iptables -I INPUT -s 10.20.30.0/24 -jDROP
iptables -I FORWARD -s 10.20.30.0/24 -jDROP
at now 2 hours at> iptables -DINPUT 1 at> iptables -D FORWARD 1
说明:这个策略咱们借助crond计划任务来完成,就再好不过了。
iptables -A INPUT -p tcp --dport 22 -s202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -jDROP
说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时。
iptables -A INPUT -p tcp --dport 20:1024 -jACCEPT
iptables -A OUTPUT -p tcp --sport20:1024 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -pudp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24-p udp --sport 53 -j ACCEPT
iptables -I INPUT -p icmp --icmp-typeEcho-Request -j DROP
iptables -I INPUT -p icmp --icmp-typeEcho-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-typedestination-Unreachable -j ACCEPT
iptables -A FORWARD -m mac --mac-source00:0c:29:27:55:3F -j DROP
说明:iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-mmac –mac-source”来表示数据包的源MAC地址。
iptables -A INPUT -p tcp -m multiport--dport 20,21,25,110,1250:1280 -j ACCEPT
说明:这里用“-mmultiport –dport”来指定目的端口及范围
iptables -A FORWARD -p tcp -m iprange--src-range 192.168.1.20-192.168.1.99 -j DROP
说明:此处用“-m –iprange–src-range”指定IP范围。
iptables -A FORWARD -m state --state NEW -ptcp ! --syn -j DROP
说明:“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的,新的嘛!
iptables -A INPUT -p tcp -m state --stateNEW -j DROP
iptables -A INPUT -p tcp -m state--state ESTABLISHED,RELATED -j ACCEPT
说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。
iptables -I INPUT -p tcp -m multiport--dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state--state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t filter -A INPUT -i eth0 -s 192.168.1.111-j DROP
iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.111 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
a、CentOS5.8
iptables -t filter -A INPUT -i eth0 -s !192.168.1.111 -j DROP
b、CentOS6.4及以上
iptables -t filter -A INPUT -i eth0 ! -s192.168.1.111 -j DROP
iptables -t filter -A INPUT -p icmp--icmp-type 8 -j DROP
a、iptables的4种网络状态
NEW:已经或将启动新的连接
ESTABLISHED:已建立的连接
RELATED:正在启动新连接
INVALID:非法或无法识别的
b、FTP服务是特殊的,需要配状态连接。
c、允许关联的状态包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT
iptables -A OUTPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
(23)示例23:控制请求速率-m limit
a、参数说明
--limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率,后面为时间分别为:秒、分、时
--limit-burst [n]:在同一时间内允许通过的请求"n"为数字,不指定默认为5
b、允许172.16.0.0/16网络ping本机(172.16.14.1),限制每分钟请求不能超过20,并发不能超过6个
iptables -A INPUT -s 172.16.0.0/16 -d172.16.14.1 -p icmp --icmp-type 8 -m limit --limit 20/min --limit-burst 6 -jACCEPT
iptables -A OUTPUT -s 172.16.14.1 -d172.16.0.0/16 -p icmp --icmp-type 0 -j ACCEPT
(1)逛公园模式
默认随便进出,对非法分子进行拒绝。企业应用:企业配置上网网关路由。
(2)看电影模式
默认没授权进入。企业应用:服务器主机配置防火墙。该模式更严格、更安全一些。
a、清空规则
iptables -F
b、清空自定义链
iptables -X
c、计数器清零
iptables -Z
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24-j ACCEPT
a、允许进入
iptables -A INPUT -i lo -j ACCEPT
b、允许输出
iptables -A OUTPUT -o lo -j ACCEPT
a、默认规则设置相关参数
-P 或 --policy
b、命令格式
iptables -P 链名动作
c、禁止所有输入
iptables -P INPUT DROP
d、允许所有输出
iptables --policy OUTPUT ACCEPT
e、禁止所有转发
iptables -P FORWARD DROP
iptables -A INPUT -p tcp -s 192.168.10.0/24-p all -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.248.0/24-p all -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -jACCEPT
iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
nmap 192.168.1.111 -p 1-65535
Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-10 13:44 CST
Nmap scan report for 192.168.1.111
Host is up (0.00053s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
/etc/init.d/iptables save 或iptables-save > /etc/sysconfig/iptables
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed May 10 13:07:10 2017
*filter
:INPUT DROP [86588:3976773]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [50:2332]
-A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
。。。
COMMIT
# Completed on Wed May 10 13:07:10 2017
使用命令行或脚本,一次性保存为配置文件。
/etc/init.d/iptables save 或iptables-save > /etc/sysconfig/iptables
通过配置文件进行管理。(修改配置文件后,reload)
vi /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed May 10 13:07:10 2017
*filter
:INPUT DROP [86588:3976773]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [50:2332]
-A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -j ACCEPT
-A INPUT -s 192.168.25.0/24 -p tcp -j ACCEPT
-A INPUT -s 192.168.18.0/24 -p tcp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT-s 192.168.1.0/24 -p icmp -j ACCEPT
-A INPUT-s 192.168.18.0/24 -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Wed May 10 13:07:10 2017
:wq
/etc/init.d/iptables reload
iptables -L -n
可以同时用。企业硬件防火墙一般放在网关位置,相当于大门保安。服务器相当于房间,需要有人或锁门,iptables相当于锁门。所以IDC机房部署了硬件防火墙,服务器也必须打开iptables。
a、双网卡
b、外网网卡可以上网
a、内核文件/etc/sysctl.conf里开启了转发功能
b、iptables的filter表的FORWARD链允许转发
eth0:ip 192.168.1.111 gw 192.168.1.254
eth1:ip 192.168.128.18
192.168.128.0/24
a、外网网卡eth0配置如下:
ip:192.168.1.111
mask:255.255.255.0
gw:192.168.1.254
DNS1:202.106.0.20
DNS2:8.8.8.8
b、外网网卡eth1配置如下:
ip:192.168.128.18
mask:255.255.255.0
gw:无
DNS:无
ip:192.168.128.11
mask:255.255.255.0
gw:192.168.1.18
DNS1:202.106.0.20
DNS2:8.8.8.8
route -n
Destination Gateway Genmask Flags Metric Ref Use Iface
。。。
0.0.0.0 192.168.1.18 0.0.0.0 UG 0 0 0 eth0
ping www.baidu.com
字节=32 时间<1ms TTL=123
a、修改配置文件/etc/sysctl.conf
修改前
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
修改后
# Controls IP packet forwarding
net.ipv4.ip_forward= 1
b、生效
sysctl -p
a、修改默认规则
iptables -P INPUT ACCEPT #允许输入
iptables -P FORWARD ACCEPT #允许转发
iptables -P OUTPUT ACCEPT #允许输出
b、清空规则
iptables -F
c、检查内核是否加载nat模块
lsmod | grep nat
<--#为空,没有加载nat模块
d、加载nat模块
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
e、再次检查内核是否加载nat模块
lsmod | grep nat
nf_nat_ftp 2602 0
nf_conntrack_ftp 10475 1 nf_nat_ftp
iptable_nat 5053 0
nf_nat 18765 2 nf_nat_ftp,iptable_nat
nf_conntrack_ipv4 7694 3 iptable_nat,nf_nat
nf_conntrack 65428 7 nf_nat_ftp,nf_conntrack_ftp,iptable_nat,。。。
ip_tables 9567 2 iptable_nat,iptable_filter
a、网关服务器ping内部服务器
ping 192.168.128.11
字节=32 时间<1ms TTL=123
b、内部服务器ping网关服务器内部IP
ping 192.168.128.18
字节=32 时间<1ms TTL=123
c、内部服务器ping网关服务器外部IP
ping 192.168.1.111
字节=32 时间<1ms TTL=123
d、内部服务器ping网关IP
ping 192.168.1.254
<--#为空,不通
e、内部服务器ping百度
ping www.baidu.com
<--#为空,不通
a、方法一:适用于有固定外网地址的情况
(i)命令
iptables -t nat-A POSTROUTING -s 192.168.128.0/24 -o eth0 -j SNAT --to-source 192.168.1.111
(ii)说明
-s 192.168.128.0/24:内部网段
-o eth0:网关服务器外部网卡设备名
-j SNAT 针对源地址IP进行转换
--to-source 192.168.1.111:网关服务器外部网卡IP地址
b、方法二(伪装):适用于没有固定外网地址的情况(每次都变化的,如ADSL)
iptables -t nat -A POSTROUTING -s192.168.128.0/24 -j MASQUERADE
OUTPUT:和主机发出去的数据包有关。改变主机发出数据包的目标地址。
PREROUTING:在数据包到达防火墙时,进行路由判断之前执行的规则。作用是改变数据包的目的地址、目的端口等。
POSTROUTING:在数据包离开防火墙进,进行路由判断之后执行的规则。作用是改变数据包的源地址、源端口等。
将访问网关服务器192.168.1.111:80,映射到192.168.128.20:9000上
iptables -t nat-A PERROUTING -d 192.168.1.111 -p tcp --dport 80 -j DNAT --to-destination192.168.1.20:9000
-j DNAT 针对目标地址IP进行转换
--to-destination:内部服务器网卡IP地址及端口
(1)把访问外网IP及端口的请求映射到内网某个服务器及端口
(2)硬件防火墙,把外部LVS/nginx外网VIP及端口的请求映射到IDC负载均衡服务器内部IP及端口
将访问网关服务器124.42.34.112,映射到192.168.128.20
网关服务器:
eth0:124.42.60.109
eht1:192.168.128.18
内部服务器:
eth0:192.168.128.20
iptables -t nat-A PREROUTING -d 124.42.60.112 -j DNAT --to-destination 192.168.128.20
iptables -t nat-A POSTROUTING -s 192.168.128.0/24 -o eth0 -j SNAT --to-source 192.168.1.111
或
iptables -t nat -A POSTROUTING -s192.168.128.0/24 -j MASQUERADE
iptables -t nat-A PREROUTING -d 124.42.60.112 -j DNAT --to-destination 192.168.128.20
iptables -t nat-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source124.42.60.11-124.42.60.16
iptables -t nat-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source124.42.60.103-124.42.60.106
######---iptables---########
net.nf_conntrack_max =25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established= 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120
sysctl-p