版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1iptables與firewalld的關(guān)系
RHEL7.0以后,使用firewalld服務(wù)取代了iptables服務(wù),但是依然可以使
用iptables服務(wù),只是默認(rèn)不開啟了,iptables和firewalld都不是真正的防火
墻,它們都只是用來定義防火墻策略的防火墻管理工具,是操作系統(tǒng)上的一種服
務(wù),將定義好的規(guī)則交給內(nèi)核中的netfilter(網(wǎng)絡(luò)過濾器)來讀取,從而實(shí)現(xiàn)防
火墻的功能,firewalld和iptables除了可以可以在inbond和outbond方向
做策略限制以外,還能實(shí)現(xiàn)snat和dnat功能。
注意:firewalld和iptables同時(shí)只能運(yùn)行一種服務(wù),否則會(huì)出現(xiàn)不可預(yù)知
的情況
2iptables安裝
RHEL7.0以后,iptables默認(rèn)不開啟,需要安裝iptables服務(wù)
[root0Server-]#systemctlstatusiptables
iptables.service
Loaded:not-found'Reason:Nosuchfileordirectory)
Active:inactive(dead)
(root@Server7#systemctlstartiptables
Failedtoissuemethodcall:Unitiptables.servicefailedtoload:Nosuchfileordirectory.
[root0Server7#rpm-qaIgrepiptables
iptables-1.4.21-13,el7,x86_64
安裝完成后
[rooteServer-]#systemctlstartiptables
[rooteServer-]#rpm-qaIgrepiptables
iptables-1.4.21-13.617.x86_64
iptables-devel-1.4.21-13.el7,x86_64
iptables-services-1.4.21-13.el.7.x86_64
iptables-utils-1.4.21-13.el7,x86_64-
[root0Server-]#systemctlstatusiptables
iptables.service-IPv4firewallwithiptables
Loaded:loaded(/usr/lib/systemd/system/iptables.service;disabled)
Active:active(exited)sinceTue2018-12-2522:11:00EST;28sago
Process:13672ExecStart=/usr/libexec/iptable$/iptables.initstart(code=exited,status=O/SUC
MainPID:13672(code-exited,status-G/SUCCESS]
Dec2522:11:00Serve。systemd[l]:StartingIPv4firewallwithiptables...
Dec2522:11:00Serveriptables.init(13672):iptables:Applyingfirewallrules:(OK]
Dec2522:11:00Serversystemd[1]:StartedIPv4firewallwithiptables.
3實(shí)驗(yàn)場(chǎng)景
3.1源地址轉(zhuǎn)換
>需求:
源地址1(172.16.202.15)需要訪問公網(wǎng)目的地址
(192.168.111.245),源地址2(172.16.202.16)不需要訪問公網(wǎng)。
內(nèi)網(wǎng)兩臺(tái)服務(wù)器,分別為源地址1(172.16.202.15)和源地址2
(172.16.202.16),公網(wǎng)出口處有一臺(tái)centos7.1的雙網(wǎng)卡服務(wù)器,
一個(gè)接口接內(nèi)網(wǎng)(172.16.202.14),一個(gè)接口接外網(wǎng)
(192.168.111.63\
源地址1上首先需要保證和iptables服務(wù)器能夠互通,并且有去
往192.168.111.245的路由,路由下一跳需要指向iptables內(nèi)網(wǎng)接
□(172.16.202.14),由iptables服務(wù)器做源nat,把源地址
(172.16.202.15)nat成公網(wǎng)接口地址(192.168.111.63),從而可
以訪問目的地址(192.168.111.245\
一、首先在源地址1服務(wù)器上配置去往192.168.111.245的路由
iprouteadd192.168.111.245via172.16.202.14〃臨時(shí)
添加路由,重啟網(wǎng)卡或者系統(tǒng)后,路由會(huì)丟失,建議做路由固化
路由固化:ffi/etc/sysconfig/network-scripts目錄下,新建一
個(gè)route配置文件,viroute-ethO,新增一條路由,
192.168.111.245/32via172.16.202.14,重啟網(wǎng)卡即可生效
[root@host-172-16-2O2-15-]#ipr
defaultvia172.16.202.254devethGprotostaticmetric10G
(defaultvia192.168.111.254devethlprotostaticmetric161
aevetnuprotokernelscopelinksrciZ2.ib.2U2.15metric100
192.168.111.0/24devethlprotokernelscopelinksrc192.168.111.64metric100
iptables服務(wù)器上,配置snat策略
iptables-tnat-APOSTROUTING-s172.16.202.15/32-d
192.168.111.245/32-jSNAT-to192.168.111.63
注釋:
-ttabletabletomanipulate(default:'filter')//
這個(gè)選項(xiàng)指定命令要操作的匹配包的表。如果內(nèi)核被配置為自動(dòng)
加載模塊,這時(shí)若模塊沒有加載,系統(tǒng)將嘗試為該表加載適合的
模塊。這些表如下:filter,這是默認(rèn)的表,包含了內(nèi)建的鏈INPUT
(處理進(jìn)入的包XFORWARD(處理通過的包)和OUTPUT(處
理本地生成的包X
nat〃這個(gè)表被查詢時(shí)表示遇到了產(chǎn)生新的連接的包,由三個(gè)內(nèi)
建的鏈構(gòu)成:PREROUTING(修改到來的包\OUTPUT(修改
路由之前本地的包\POSTROUTING(修改準(zhǔn)備出去的包\
-Achain〃在所選擇的鏈末添加規(guī)則
POSTROUTING〃先路由再做nat
-s〃源IP地址
-d〃目的IP地址
-jSNAT〃做源地址轉(zhuǎn)換
-to〃轉(zhuǎn)換后的IP地址
此時(shí),從源地址1服務(wù)器上去ping192.168.111.245,結(jié)果如下:
[root@host-172-16-2Q2-15-]#ping192.168.111.245
PING192.168.111.245(192.168.111,245)56(84)bytesofdata.
From172.16.202.14icmp_seq=lDestinationHostProhibited
From172.16.202.14icmp_seq=2DestinationHostProhibited
From172.16.202.14icmp_seq=3DestinationHostProhibited
From172.16.202.14icmp_seq=4DestinationHostProhibited
From172.16.202.14icmp_seq=5DestinationHostProhibited
From172.16.202.14icmp_seq=6DestinationHostProhibited
From172.16.202.14icmp_seq=7DestinationHostProhibited
From172.16.202.14icmp_seq=8DestinationHostProhibited
F
---192.168.111.245pingstatistics---
8packetstransmitted,0received,+8errors,100%packetloss,time6999ms
提示destinationhostprohibited,說明路由可達(dá),但是在中間
路徑上被防火墻阻止了,源地址1本地服務(wù)器上,因?yàn)槭浅鼋涌诜较?/p>
流量,所以默認(rèn)情況下,不會(huì)被阻止,所以只能在iptables服務(wù)器
上,被防火墻默認(rèn)規(guī)則阻止了,所以只需要在iptables服務(wù)器上放
開防火墻限制即可
三、iptables服務(wù)器上放開防火墻規(guī)則
前面提到過,iptables上默認(rèn)的filter表中,分為三個(gè)規(guī)則鏈:
INPUT,OUTPUT和FORWARD,其中INPUT負(fù)責(zé)處理入方向的
包,OUTPUT負(fù)責(zé)處理本地生成出方向的包,F(xiàn)ORWARD負(fù)責(zé)經(jīng)過
經(jīng)過的數(shù)據(jù)包,從網(wǎng)絡(luò)拓?fù)渖峡梢钥闯鰜碓吹刂?(172.168.202.15)
去訪問目的地址(192.168.111.245),是經(jīng)過iptables服務(wù)器,所
以調(diào)用的iptables服務(wù)器的FORWARD表,所以只需要在iptables
服務(wù)器上FORWARD表中,增加一條規(guī)則即可
iptables-IFORWARD-jACCEPT
如果不確定是調(diào)用的哪個(gè)規(guī)則鏈,也可以在INPUT和OUTPUT
方向都加上規(guī)則鏈,iptables-IINPUT-jACCEPT,iptables-I
OUTPUT-jACCEPT
注意:以上二三兩個(gè)步驟添加的nat規(guī)則和防火墻規(guī)則,都是臨
時(shí)的,重啟iptables服務(wù)或重啟系統(tǒng)后,nat規(guī)則和防火墻規(guī)則會(huì)
丟失,可以使用命令保存:serviceiptablessave,也可以手動(dòng)修
改配置文件,配置文件如下vi/etc/sysconfig/iptables:
[root0Server-]#vim/etc/sysconfig/iptables
1號(hào)Generatedbyiptables-savevl.4.21onWedDec2602:54:302Q18
2*nat
3:PREROITTINGACCEPT[384:38919]
4:INPUTACCEPT[0:0]
5:OUTPUTACCEPT[0:0]
6:POSTROUTINGACCEPT(0:0]
7-APOSTROUTING-s172.16.202.15/32-d192.168.111.245/32-jSNAT--to-source192.168.11
8COMMIT
9#CompletedonWedDec2602:54:302018
IQ#Generatedbyiptables-savevl,4.21onWedDec2602:54:302018
11"filter
12:INPUTACCEPT[0:G]
13:FOFWARDACCEPT[0:0]
14IOLTTPUTACCEPT[1541:169788]
15-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
16-AINPITT-picmp-jACCEPT
17-AINPUT-i10-jACCEPT
18-AINPUT-ptcp-mstate--stateN刖-mtcp--dport22-jACCEPT
19-AINPUT-jREJECT--reject-withicmp-host-prohibited
20-AFOFWARD-jACCEPT
21-AFORWARD-jREJECT--reject-withicmp-host-prohibited
COMMTT
四、打開ip_forward
出于安全考慮,Linux系統(tǒng)默認(rèn)是禁止數(shù)據(jù)包轉(zhuǎn)發(fā)的。所謂轉(zhuǎn)發(fā)
即當(dāng)主機(jī)擁有多于一塊的網(wǎng)卡時(shí),其中一塊收到數(shù)據(jù)包,根據(jù)數(shù)據(jù)包
的目的ip地址將包發(fā)往本機(jī)另一網(wǎng)卡,該網(wǎng)卡根據(jù)路由表繼續(xù)發(fā)送
數(shù)據(jù)包,這個(gè)功能需要手動(dòng)打開。
修改配置文件:增加一條:
vi/etc/sysctl.confz
net.ipv4.ip_forward=1
[root0Server-]#vi/etc/sysctl.conf
5Systemdefaultsettingslivein/usr/lib/sysctl.d/OO-system.conf.
#Tooverridethosesettings,enternewsettingshere,orinan/etc/sysctl.d/<name>.conff
#
#Formoreinformation,sysctl.conf(5)andsysctl.d(5).
net.ipv4,ip_forward=1
然后輸入sysctl-p,使配置生效
[root@Server7#vi/etc/sysctl.conf
[root@Server7#sysctl-p
net.ipv4,ip_fonward=1
[root@Server|
注意:有些centos7.X的版本和centos6.x的版本開啟路由轉(zhuǎn)
發(fā)的配置文件不一樣,如果修改/etc/sysctl.conf不生效的話,需要
修改下面這個(gè)配置文件,同樣是在結(jié)尾增加一條:
net.ipv4.ip_forward=1
[root@Serversysctl.d]#U/etc/sysctl.d/
totalQ
Irwxrwxrvx.1rootroot14Nov2920:5499-sysctl.conf->../sysctl.conf
[rooteServersysctl.d]#|
A結(jié)果驗(yàn)證:
源地址1服務(wù)器(172.16.202.15)可以通目的地址
(192.168.111.245),源地址2服務(wù)器(172.16.202.16)不能通目
的地址
源地址1服務(wù)器:
?1192.168.111.63:22?3192.168.111.65:22+
64bytesfrom192.168.111,245:icmp_seq=1787ttl=127tirae-G.507ms
64bytesfrom192.168.111,245:icmp_seq=1783ttl=127time=0.427ms
64bytesfrom192.168.111,245:icmp_seq=1789ttl=127time=0.489ms
64bytesfrom192.168.111,245:icmp_seq=1793ttl=127time-Q.462ms
64bytesfrom192.168.111,245:icmp_seq=1791ttl=127time=0.409ms
64bytesfrom192.168.111,245:icmp_seq=1792ttl=127time=0.441ms
64bytesfrom192.168.111,245:icmp_seq=1793ttl=127time=0.466ms
64bytesfrom192.168.111,245:icmp_seq=1794ttl=127time=0.425ms
64bytesfrom192.168.111,245:icmp_seq=1795ttl=127time=0.440ms
54bytesfrom192.108.111.245:icmp_seq=1795ttl=127time=0.441ms
64bytesfrom192.168.111,245:icmp_seq=1797ttl=127time=G.441ms
64bytesfrom192.168.111,245:icmp_seq=1793ttl-127tirae-0.509ms
64bytesfrom192.168.111,245:icmp_seq=1799ttl=127time=0.470ms
64bytesfrom192.168.111.245:icmp_seq=1803ttl=127time=0.450ms
64bytesfrom192.168.111,245:icmp_seq=1801ttl=127time=0.4Q2ms
64bytesfrom192.168.111,245:icmp_seq=1802ttl=127time=0.454ms
64bytesfrom192.168.111,245:icmp_seq=1803ttl=127time=0.465ms
64bytesfrom192.168.111,245:icmp_seq=1804ttl=127time=0.365ms
64bytesfrom192.168.111,245:icmp_seq=1805ttl=127time=0.420ms
64bytesfrom192.168.111,245:icmp_seq=1803ttl-127tine-0.443ms
64bytesfrom192.168.111,245:icmp_seq=1807ttl-127time=0.453ms
64bytesfrom192.168.111,245:icmp_seq-18Q3ttl-127timc-O.536ms
Y
---192.168.111.245pingstatistics---
1808packetstransmitted,1726received,+82errors,4雷packetloss,time1807Q00ms
rttmin/avg/max/mdev=G.321/0.446/1.015/0.339ms
[root0host-172-16-2O2-157#|
源地址2服務(wù)器:
[root!?localhost~]猶ipr
defaultvia172.16.2虎.254devethlprotostaticmetric101
172.16.202.0/24devethlprotokerne1scope1inksrc172.16.202.16metric10
19Z.168.111.Z45via172.16.20Z.14deuethl
[root?localhostping192.168.111.Z45
PIMG192.168.111.Z45(192.168.111.Z45)56(84)bytesofdata.
如果源地址2服務(wù)器(172.16.202.16)也需要和目的地址服務(wù)
器(192.168.111.245)通信,只需要在iptables服務(wù)器上添加一條
nat規(guī)則即可
iptables-tnat-APOSTROUTING-s172.16.202.16/32-d
192.168.111.245/32-jSNAT-to192.168.111.63
[root@localhost-]#ipaddr
1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUNKNCWN
link/loopback00:00:00:00:00:00brd00:00:00:GO:00:00
inet127.0.0.1/8scopehostto
valid_lftforeverpreferred_Utforever
inet6::1/128scopehost
foreverpreferred_l^tforever
2:ethO:<BRDADCAST,MULTICAST,UP,L0WER_UP>mtu1500qdiscpfifojaststateUPqlen10Q0
link/etherfa:16:3e:8b:3c:63brdff:ff:H:ff:ff:ff
3:ethl:<BROADCAST,MULTICAST,UP,LCWER^UP>iitu1500qdiscpfifo_faststateUPqlen1000
link/etherfa;16:3e:c3:9b:G2brd仟:ff:ff:ff:ff:ff
inet172.16.202.16/24brd172.16.202.255scopeglobalethl
valid_Utforeverpreferred_Utforever
inet6fe80::f816:3eff:fec3:9b02/64scopelink
validjftforeverpreferred_Utforever
[rootelocalhost-]#ping192.168.111.245
PING192.168.111.245(192.168.111,245)56(84)bytesofdata.
64bytesfrom192.168.111.245:icmp_seq=lttl=127time=0.327ms
64bytesfrom192.168.111,245:icmp_seq=2ttl=127time=0.346ms
64bytesfrom192.168.111,245:icmp_seq=3ttl=127time=0.323ms
64bytesfrom192.168.111.245:icmp_seq=4ttl=127time=0.413ms
64bytesfrom192.168.111,245:icmp_seq=5ttl=127time=0.373ms
64bytesfrom192.168.
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 電機(jī)學(xué)課件-清華大學(xué)
- 2024年全新裝修設(shè)計(jì)合作協(xié)議2篇
- 廣西大學(xué)附屬中學(xué)消防講座課件張琳敏課件
- 房屋擔(dān)保租賃合同(2篇)
- 2024年互聯(lián)網(wǎng)租賃平臺(tái)自行車退租退款及押金返還協(xié)議3篇
- 2025年貴州貨運(yùn)從業(yè)資格考試模擬考試題庫及答案解析
- 2025年福州貨運(yùn)從業(yè)資格試題答案解析
- 2025年武漢貨運(yùn)從業(yè)資格證考試模擬考試題及答案
- 2025年克拉瑪依b2考貨運(yùn)資格證要多久
- 2025年塔城貨運(yùn)資格證培訓(xùn)考試題
- 30題啟明星辰售前工程師崗位常見面試問題含HR問題考察點(diǎn)及參考回答
- 幕墻工程檢驗(yàn)批質(zhì)量驗(yàn)收記錄
- 2023年日本醫(yī)藥行業(yè)分析報(bào)告
- 關(guān)于社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)內(nèi)部控制講解
- 軟件開發(fā)項(xiàng)目關(guān)鍵技術(shù)可行性分析
- 虛擬貨幣交易所行業(yè)營銷方案
- 山東建筑大學(xué)混凝土結(jié)構(gòu)設(shè)計(jì)期末考試復(fù)習(xí)題
- 衛(wèi)生院防雷安全應(yīng)急預(yù)案
- 膠原蛋白注射知情同意書
- 英倫文學(xué)地圖:英國文學(xué)中的地域書寫智慧樹知到課后章節(jié)答案2023年下蘇州大學(xué)
- 心肌梗死講課課件
評(píng)論
0/150
提交評(píng)論