必威体育Betway必威体育官网
当前位置:首页 > IT技术

netfilter

时间:2019-08-13 02:11:05来源:IT技术作者:seo实验室小编阅读:57次「手机版」
 

netfilter

#firewalld&netfilter

permissive,遇到真正需要阻断时不会真正阻断,只会提醒

centos7以前叫netfilter,在7中称之为netfilter

由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态

在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭firewalld

##netfilter

五个表

nat表用于实现路由器,共享上网端口映射

iptables progress please refer to http://www.cnblogs.com/metoy/p/4320813.html

#iptables 语法

iptables (-t nat/filter) -nvL 默认规则--保存于 /etc/sysconfig/iptables

iptables -F 清空规则(但却无法清空配置文件的规则,重启后会加载service iptables restart)

iptables -Z 清零

下例命令为jp阻断 封掉, DRPO可以用REJECT命令代替

如何删除新加入规则 (虽然 iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP亦能实现删除 但是input过于繁琐,推荐使用以下方式)

iptalbes -nvL --llne-number

iptables -D INPUT 8(the line that you want to delete)

iptables -P INPUT DROP 清除全部规则 (轻易不要用)///// iptables -P OUTPUT ACCEPT

##iptables nat 表应用

##准备环境pre-work

1.准备个workstations 编辑虚拟机设置

2. 添加网卡

3.将网络连接模式改成区段(为了确保实验环境,网卡2不连接window而是连接某区段)

4.配置另一个workstations(fred linux 克隆)的网卡,选择Lan区段

5.添加成功,并尝试给新网卡ens37设置ip

可以通过下命令手动设置ip、端口(重启之后就会没有了,如果想要一直存在就要更改配置文件)

6.同理,配置fred 克隆workstation ens37网卡

7.测试是否ping的通

##调配

需求1

1. A机器上打开路由转发 (此默认值是0,意为关闭)

cat /proc/sys/net/ipv4/ip_forward

打开端口转发 echo "1" > /proc/sys/net/ipv4/ip_forward

2. 增加一条实现上网的规则

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j masquerade

3.克隆机机器上设置网关为192.168.100.1

实现克隆机联网

4.设置dns

vi /etc/resolv.confvi

需求2(端口映射)

1. A机器上打开端口转发

echo "1" > /proc/sys/net/ipv4/ip_forward

2. 增加iptables 规则(先删除之前的规则 以免影响接下来的实验)---此为进去的操作

iptables -t nat -A PREROUTING-d 192.168.88.128 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

从88.128进来通过端口1122 转发到100.100的22端口

之后设置出去的端口

iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.88.128

3.克隆机器添加网关

克隆机机器上设置网关为192.168.100.1

实验成功

##iptables规则备份和恢复

相关阅读

分享到:

栏目导航

推荐阅读

热门阅读