prerouting用来修改目的地址,用来做DNAT 。如:把内网中的80端口映射到路由器外网端口上
postrouting用来修改源地址用来做SNAT。 如:内网通过路由器NAT转换功能实现内网PC机通过
Iptables过滤封包流程
总结: 整体数据包分两类: 1、发给防火墙本身的数据包 ;2、需要经过防火墙的数据包
注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。
配置文件位置:
[root@ygy130 ~]# ls /etc/sysconfig/iptables
保存:/etc/init.d/iptables save 就会生成规则在配置文件中
[root@ygy130 ~]# iptables -L --line-number 显示行号
[root@ygy130 ~]# iptables -D INPUT 1 删除规则
下面配置防火墙,使内网2网段通过31网段上网。63主机双网卡。
首先配置路由转发功能。
[root@ygy130 ~]# vim /etc/sysctl.conf
改:#net.ipv4.ip_forward = 0
为: net.ipv4.ip_forward = 1
改完使配置生效:
[root@ygy130 ~]# sysctl -p
[root@ygy130 ~]# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.31.130
源地址是2.0的网段,转到能上网的网卡。
内网机器的ip配置,网关为130的网卡1的地址。
dns要改成内网的dns 之前配置的dns服务器192.168.2.20.
这个时候,内网主机就能ping通外网。
路由跟踪:通过2.20,转到31.1进行上网。
拒绝访问服务器本身和拒绝通过服务器访问别的机器
内网主机禁止ping通能上网的主机的网段。禁止ping 192.168.31.1。
没有成功,待研究。
把内网的web服务器,映射到外网, 如上个图,外网通过访问主机63,就能访问了64的网页。
[root@ygy130 ~]# iptables -t nat -A PREROUTING -d 192.168.31.130 -p tcp --dport 80 -j DNAT --to 192.168.2.100:80
命令参考:
http://www.xker.com/page/e2012/0926/120758.html
原文链接: https://www.cnblogs.com/yuguangyuan/p/5951206.html
欢迎关注
微信关注下方公众号,第一时间获取干货硬货;公众号内回复【pdf】免费获取数百本计算机经典书籍;
也有高质量的技术群,里面有嵌入式、搜广推等BAT大佬
原创文章受到原创版权保护。转载请注明出处:https://www.ccppcoding.com/archives/398024
非原创文章文中已经注明原地址,如有侵权,联系删除
关注公众号【高性能架构探索】,第一时间获取最新文章
转载文章受原作者版权保护。转载请注明原作者出处!
