mac下的iptables---pfctl

iptables是Linux下的防火墙,可以进行数据包的过滤,在网络层进行数据的转发、拦截或丢弃等,使用非常普遍,功能也非常强大。但是Mac下没有iptables,为了实现流量转发和过滤,要使用到Mac自带的PFctl。PFctl即control the packet filter,是Unix LIKE系统上进行TCP/IP流量过滤和网络地址转换的系统,也能提供流量整形和控制等,详情可以见PF防火墙。

数据转发分两种情况,流入数据的转发和流出数据的转发,网络上大部分的使用例子都是如何对流入数据进行转发,搜索很久才发现如何通过pfctl进行流出数据的转发,故此记录一下,mac系统为10.11.2。

需要实现的功能如下:

1.将流入数据的端口从80转发到8080

2.将本地发往192.168.1.8:80的数据丢弃

3.将本地发往192.168.1.6:80的数据转发到192.168.1.7:8080

使用sudo或者进入root模式(sudo -i)

1.本次开机生效:

sudo sysctl -w net.inet.ip.forwarding=1

sudo sysctl -w net.inet6.ip6.forwarding=1

开启启动配置:

创建文件/etc/sysctl.conf, 内容如下:

net.inet.ip.forwarding=1

net.inet6.ip6.forwarding=1

2.查看当前端口转发功能状态:

sysctl -a | grep forward

3.配置PF过滤功能:

创建配置文件/etc/pf.anchors/http,内容为:

流入端口转发

rdr pass on en0 inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080

rdr pass on lo0 inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080

流出数据丢弃

block drop out proto tcp from any to 192.168.1.8 port 80

流出数据转发(1.将特定数据流从en0->lo0, 2.将lo0的数据进行转发)

rdr pass log on lo0 proto tcp from any to 192.168.1.6 port 80 -> 192.168.1.7 port 8080

pass out on en0 route-to lo0 proto tcp from en0 to 192.168.1.6 port 80 keep state

4.校验/etc/pf.anchors/http配置是否正确

sudo pfctl -vnf /etc/pf.anchors/http

5.将配置添加到主配置文件

修改/etc/pf.conf,相同指令要放在一起

在 rdr-anchor "com.apple/*" 下添加

rdr-anchor "http-forwarding"

在 load anchor "com.apple" from "/etc/pf.anchors/com.apple" 下添加

load anchor "http-forwarding" from "/etc/pf.anchors/http"

6.开启pf服务

sudo pfctl -ef /etc/pf.conf

或则

sudo pfctl -E

7.关闭pf服务

sudo pfctl -d

参考:
https://www.jianshu.com/p/6052831a8e91
https://apple.stackexchange.com/questions/309286/macos-packet-filter-port-forwarding

你可能感兴趣的:(mac下的iptables---pfctl)