iptables学习_1-写自己的历史-ChinaUnix博客

写自己的历史

首页　| 　博文目录　| 　关于我

写自己的历史

博客访问： 2470573
博文数量： 293
博客积分： 2660
博客等级：少校
技术积分： 3632
用户组：普通用户
注册时间： 2009-11-03 17:50

文章分类

全部博文（293）

VOIP（1）
测试技术（0）
虚拟化和云计算（13）
项目管理（38）

敏捷开发（15）

配置管理（23）
未分类（3）
网络天下（7）
数据库（7）
编程路上（44）
x86服务器管理（4）
存储管理（20）

Tape Library（1）

NAS（18）

SAN（1）
手机（65）

U960S（1）
系统管理（70）

ldap相关（21）

solaris（1）

unix（0）

DNS（1）

linux（22）

windows管理（25）
随笔（4）
生活百科（17）

解读体检报告（7）

生活点滴（2）

理财在线（1）

健康生活（7）
未分配的博文（0）

文章存档

2015年（13）

2014年（58）

2013年（73）

2012年（25）

2011年（30）

2010年（86）

2009年（8）

我的朋友

相关博文

iptables学习_1

分类：网络与安全

2011-09-24 10:01:39

本文参考学习完成

路由和NAT的区别：

在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC地址以外，路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。

做这个实验室是用VMware实现，一个vm有双网卡，一块Bridged,配置外网地址；一块Custom Specific virtual network:VMnet2，配置内网地址。另外一个vm是单网卡Custom Specific virtual network:VMnet2，配置内网地址。

1）用iptables实现NAT

iptables -N chain 建立一个链

iptables -X chain 删除一个链

iptables修改完毕后必须通过service iptables save或iptables-save>/etc/sysconfig/iptables生效

iptables -t nat --list 查看nat表的内容

假设所有的chain的默认策略都是ACCEPT

a.修改/etc/sysctl.conf中的net.ipv4.ip_forward = 1,执行sysctl -p /etc/sysctl.conf生效

b.下面任意一条命令均可以实现NAT，即从内网可以访问外网

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 外网ip

c.进一步iptables -P FORWARD DROP

iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 允许已经建立的连接从外网访问内网

iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT 允许从内网到外网的路由

d.进一步iptables -t nat -P POSTROUTING DROP

iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT 网关服务器ping通内网

iptables -t nat -A POSTROUTING -o lo -j ACCEPT 网关服务器ping通自己

e.进一步iptables -t nat -P PREROUTING DROP

iptables -t nat -A PREROUTING -i eth1 -j ACCEPT 允许内网访问外网

允许外网访问网关服务器

iptables -t nat -A PREROUTING -i eht0 -s 外网网段/255.255.255.0 -j ACCEPT

f.进一步iptables -t nat -P OUTPUT DROP

iptables -t nat -P OUTPUT -s 192.168.1.1 -j ACCEPT 网关服务器可以对内网访问

iptables -t nat -P OUTPUT -s 网关服务器外网地址 -j ACCEPT 网关服务器可以对外网访问

g.进一步iptables -P INPUT DROP

iptables -A INPUT -s 外网网段/255.255.255.0 -j ACCEPT 允许外网访问网关服务器

允许已经建立的连接访问网关服务器

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT 网关服务器ping通自己

iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT 内网访问网关服务器

h.进一步iptables -P OUTPUT DROP

iptables -A OUTPUT -s 192.168.1.1 -j ACCEPT 网关服务器访问内网

iptables -A OUTPUT -s 网关服务器外网地址 -j ACCEPT 网关服务器访问外网

允许已经建立的连接出去

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

阅读(1285) | 评论(0) | 转发(0) |

上一篇：远程映射usb口

下一篇：用ISA实现SNAT

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6