iptables操作手冊(cè)資料_第1頁
iptables操作手冊(cè)資料_第2頁
iptables操作手冊(cè)資料_第3頁
iptables操作手冊(cè)資料_第4頁
iptables操作手冊(cè)資料_第5頁
已閱讀5頁,還剩6頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1iptables與firewalld的關(guān)系

RHEL7.0以后,使用firewalld服務(wù)取代了iptables服務(wù),但是依然可以使

用iptables服務(wù),只是默認(rèn)不開啟了,iptables和firewalld都不是真正的防火

墻,它們都只是用來定義防火墻策略的防火墻管理工具,是操作系統(tǒng)上的一種服

務(wù),將定義好的規(guī)則交給內(nèi)核中的netfilter(網(wǎng)絡(luò)過濾器)來讀取,從而實(shí)現(xiàn)防

火墻的功能,firewalld和iptables除了可以可以在inbond和outbond方向

做策略限制以外,還能實(shí)現(xiàn)snat和dnat功能。

注意:firewalld和iptables同時(shí)只能運(yùn)行一種服務(wù),否則會(huì)出現(xiàn)不可預(yù)知

的情況

2iptables安裝

RHEL7.0以后,iptables默認(rèn)不開啟,需要安裝iptables服務(wù)

[root0Server-]#systemctlstatusiptables

iptables.service

Loaded:not-found'Reason:Nosuchfileordirectory)

Active:inactive(dead)

(root@Server7#systemctlstartiptables

Failedtoissuemethodcall:Unitiptables.servicefailedtoload:Nosuchfileordirectory.

[root0Server7#rpm-qaIgrepiptables

iptables-1.4.21-13,el7,x86_64

安裝完成后

[rooteServer-]#systemctlstartiptables

[rooteServer-]#rpm-qaIgrepiptables

iptables-1.4.21-13.617.x86_64

iptables-devel-1.4.21-13.el7,x86_64

iptables-services-1.4.21-13.el.7.x86_64

iptables-utils-1.4.21-13.el7,x86_64-

[root0Server-]#systemctlstatusiptables

iptables.service-IPv4firewallwithiptables

Loaded:loaded(/usr/lib/systemd/system/iptables.service;disabled)

Active:active(exited)sinceTue2018-12-2522:11:00EST;28sago

Process:13672ExecStart=/usr/libexec/iptable$/iptables.initstart(code=exited,status=O/SUC

MainPID:13672(code-exited,status-G/SUCCESS]

Dec2522:11:00Serve。systemd[l]:StartingIPv4firewallwithiptables...

Dec2522:11:00Serveriptables.init(13672):iptables:Applyingfirewallrules:(OK]

Dec2522:11:00Serversystemd[1]:StartedIPv4firewallwithiptables.

3實(shí)驗(yàn)場(chǎng)景

3.1源地址轉(zhuǎn)換

>需求:

源地址1(172.16.202.15)需要訪問公網(wǎng)目的地址

(192.168.111.245),源地址2(172.16.202.16)不需要訪問公網(wǎng)。

內(nèi)網(wǎng)兩臺(tái)服務(wù)器,分別為源地址1(172.16.202.15)和源地址2

(172.16.202.16),公網(wǎng)出口處有一臺(tái)centos7.1的雙網(wǎng)卡服務(wù)器,

一個(gè)接口接內(nèi)網(wǎng)(172.16.202.14),一個(gè)接口接外網(wǎng)

(192.168.111.63\

源地址1上首先需要保證和iptables服務(wù)器能夠互通,并且有去

往192.168.111.245的路由,路由下一跳需要指向iptables內(nèi)網(wǎng)接

□(172.16.202.14),由iptables服務(wù)器做源nat,把源地址

(172.16.202.15)nat成公網(wǎng)接口地址(192.168.111.63),從而可

以訪問目的地址(192.168.111.245\

一、首先在源地址1服務(wù)器上配置去往192.168.111.245的路由

iprouteadd192.168.111.245via172.16.202.14〃臨時(shí)

添加路由,重啟網(wǎng)卡或者系統(tǒng)后,路由會(huì)丟失,建議做路由固化

路由固化:ffi/etc/sysconfig/network-scripts目錄下,新建一

個(gè)route配置文件,viroute-ethO,新增一條路由,

192.168.111.245/32via172.16.202.14,重啟網(wǎng)卡即可生效

[root@host-172-16-2O2-15-]#ipr

defaultvia172.16.202.254devethGprotostaticmetric10G

(defaultvia192.168.111.254devethlprotostaticmetric161

aevetnuprotokernelscopelinksrciZ2.ib.2U2.15metric100

192.168.111.0/24devethlprotokernelscopelinksrc192.168.111.64metric100

iptables服務(wù)器上,配置snat策略

iptables-tnat-APOSTROUTING-s172.16.202.15/32-d

192.168.111.245/32-jSNAT-to192.168.111.63

注釋:

-ttabletabletomanipulate(default:'filter')//

這個(gè)選項(xiàng)指定命令要操作的匹配包的表。如果內(nèi)核被配置為自動(dòng)

加載模塊,這時(shí)若模塊沒有加載,系統(tǒng)將嘗試為該表加載適合的

模塊。這些表如下:filter,這是默認(rèn)的表,包含了內(nèi)建的鏈INPUT

(處理進(jìn)入的包XFORWARD(處理通過的包)和OUTPUT(處

理本地生成的包X

nat〃這個(gè)表被查詢時(shí)表示遇到了產(chǎn)生新的連接的包,由三個(gè)內(nèi)

建的鏈構(gòu)成:PREROUTING(修改到來的包\OUTPUT(修改

路由之前本地的包\POSTROUTING(修改準(zhǔn)備出去的包\

-Achain〃在所選擇的鏈末添加規(guī)則

POSTROUTING〃先路由再做nat

-s〃源IP地址

-d〃目的IP地址

-jSNAT〃做源地址轉(zhuǎn)換

-to〃轉(zhuǎn)換后的IP地址

此時(shí),從源地址1服務(wù)器上去ping192.168.111.245,結(jié)果如下:

[root@host-172-16-2Q2-15-]#ping192.168.111.245

PING192.168.111.245(192.168.111,245)56(84)bytesofdata.

From172.16.202.14icmp_seq=lDestinationHostProhibited

From172.16.202.14icmp_seq=2DestinationHostProhibited

From172.16.202.14icmp_seq=3DestinationHostProhibited

From172.16.202.14icmp_seq=4DestinationHostProhibited

From172.16.202.14icmp_seq=5DestinationHostProhibited

From172.16.202.14icmp_seq=6DestinationHostProhibited

From172.16.202.14icmp_seq=7DestinationHostProhibited

From172.16.202.14icmp_seq=8DestinationHostProhibited

F

---192.168.111.245pingstatistics---

8packetstransmitted,0received,+8errors,100%packetloss,time6999ms

提示destinationhostprohibited,說明路由可達(dá),但是在中間

路徑上被防火墻阻止了,源地址1本地服務(wù)器上,因?yàn)槭浅鼋涌诜较?/p>

流量,所以默認(rèn)情況下,不會(huì)被阻止,所以只能在iptables服務(wù)器

上,被防火墻默認(rèn)規(guī)則阻止了,所以只需要在iptables服務(wù)器上放

開防火墻限制即可

三、iptables服務(wù)器上放開防火墻規(guī)則

前面提到過,iptables上默認(rèn)的filter表中,分為三個(gè)規(guī)則鏈:

INPUT,OUTPUT和FORWARD,其中INPUT負(fù)責(zé)處理入方向的

包,OUTPUT負(fù)責(zé)處理本地生成出方向的包,F(xiàn)ORWARD負(fù)責(zé)經(jīng)過

經(jīng)過的數(shù)據(jù)包,從網(wǎng)絡(luò)拓?fù)渖峡梢钥闯鰜碓吹刂?(172.168.202.15)

去訪問目的地址(192.168.111.245),是經(jīng)過iptables服務(wù)器,所

以調(diào)用的iptables服務(wù)器的FORWARD表,所以只需要在iptables

服務(wù)器上FORWARD表中,增加一條規(guī)則即可

iptables-IFORWARD-jACCEPT

如果不確定是調(diào)用的哪個(gè)規(guī)則鏈,也可以在INPUT和OUTPUT

方向都加上規(guī)則鏈,iptables-IINPUT-jACCEPT,iptables-I

OUTPUT-jACCEPT

注意:以上二三兩個(gè)步驟添加的nat規(guī)則和防火墻規(guī)則,都是臨

時(shí)的,重啟iptables服務(wù)或重啟系統(tǒng)后,nat規(guī)則和防火墻規(guī)則會(huì)

丟失,可以使用命令保存:serviceiptablessave,也可以手動(dòng)修

改配置文件,配置文件如下vi/etc/sysconfig/iptables:

[root0Server-]#vim/etc/sysconfig/iptables

1號(hào)Generatedbyiptables-savevl.4.21onWedDec2602:54:302Q18

2*nat

3:PREROITTINGACCEPT[384:38919]

4:INPUTACCEPT[0:0]

5:OUTPUTACCEPT[0:0]

6:POSTROUTINGACCEPT(0:0]

7-APOSTROUTING-s172.16.202.15/32-d192.168.111.245/32-jSNAT--to-source192.168.11

8COMMIT

9#CompletedonWedDec2602:54:302018

IQ#Generatedbyiptables-savevl,4.21onWedDec2602:54:302018

11"filter

12:INPUTACCEPT[0:G]

13:FOFWARDACCEPT[0:0]

14IOLTTPUTACCEPT[1541:169788]

15-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT

16-AINPITT-picmp-jACCEPT

17-AINPUT-i10-jACCEPT

18-AINPUT-ptcp-mstate--stateN刖-mtcp--dport22-jACCEPT

19-AINPUT-jREJECT--reject-withicmp-host-prohibited

20-AFOFWARD-jACCEPT

21-AFORWARD-jREJECT--reject-withicmp-host-prohibited

COMMTT

四、打開ip_forward

出于安全考慮,Linux系統(tǒng)默認(rèn)是禁止數(shù)據(jù)包轉(zhuǎn)發(fā)的。所謂轉(zhuǎn)發(fā)

即當(dāng)主機(jī)擁有多于一塊的網(wǎng)卡時(shí),其中一塊收到數(shù)據(jù)包,根據(jù)數(shù)據(jù)包

的目的ip地址將包發(fā)往本機(jī)另一網(wǎng)卡,該網(wǎng)卡根據(jù)路由表繼續(xù)發(fā)送

數(shù)據(jù)包,這個(gè)功能需要手動(dòng)打開。

修改配置文件:增加一條:

vi/etc/sysctl.confz

net.ipv4.ip_forward=1

[root0Server-]#vi/etc/sysctl.conf

5Systemdefaultsettingslivein/usr/lib/sysctl.d/OO-system.conf.

#Tooverridethosesettings,enternewsettingshere,orinan/etc/sysctl.d/<name>.conff

#

#Formoreinformation,sysctl.conf(5)andsysctl.d(5).

net.ipv4,ip_forward=1

然后輸入sysctl-p,使配置生效

[root@Server7#vi/etc/sysctl.conf

[root@Server7#sysctl-p

net.ipv4,ip_fonward=1

[root@Server|

注意:有些centos7.X的版本和centos6.x的版本開啟路由轉(zhuǎn)

發(fā)的配置文件不一樣,如果修改/etc/sysctl.conf不生效的話,需要

修改下面這個(gè)配置文件,同樣是在結(jié)尾增加一條:

net.ipv4.ip_forward=1

[root@Serversysctl.d]#U/etc/sysctl.d/

totalQ

Irwxrwxrvx.1rootroot14Nov2920:5499-sysctl.conf->../sysctl.conf

[rooteServersysctl.d]#|

A結(jié)果驗(yàn)證:

源地址1服務(wù)器(172.16.202.15)可以通目的地址

(192.168.111.245),源地址2服務(wù)器(172.16.202.16)不能通目

的地址

源地址1服務(wù)器:

?1192.168.111.63:22?3192.168.111.65:22+

64bytesfrom192.168.111,245:icmp_seq=1787ttl=127tirae-G.507ms

64bytesfrom192.168.111,245:icmp_seq=1783ttl=127time=0.427ms

64bytesfrom192.168.111,245:icmp_seq=1789ttl=127time=0.489ms

64bytesfrom192.168.111,245:icmp_seq=1793ttl=127time-Q.462ms

64bytesfrom192.168.111,245:icmp_seq=1791ttl=127time=0.409ms

64bytesfrom192.168.111,245:icmp_seq=1792ttl=127time=0.441ms

64bytesfrom192.168.111,245:icmp_seq=1793ttl=127time=0.466ms

64bytesfrom192.168.111,245:icmp_seq=1794ttl=127time=0.425ms

64bytesfrom192.168.111,245:icmp_seq=1795ttl=127time=0.440ms

54bytesfrom192.108.111.245:icmp_seq=1795ttl=127time=0.441ms

64bytesfrom192.168.111,245:icmp_seq=1797ttl=127time=G.441ms

64bytesfrom192.168.111,245:icmp_seq=1793ttl-127tirae-0.509ms

64bytesfrom192.168.111,245:icmp_seq=1799ttl=127time=0.470ms

64bytesfrom192.168.111.245:icmp_seq=1803ttl=127time=0.450ms

64bytesfrom192.168.111,245:icmp_seq=1801ttl=127time=0.4Q2ms

64bytesfrom192.168.111,245:icmp_seq=1802ttl=127time=0.454ms

64bytesfrom192.168.111,245:icmp_seq=1803ttl=127time=0.465ms

64bytesfrom192.168.111,245:icmp_seq=1804ttl=127time=0.365ms

64bytesfrom192.168.111,245:icmp_seq=1805ttl=127time=0.420ms

64bytesfrom192.168.111,245:icmp_seq=1803ttl-127tine-0.443ms

64bytesfrom192.168.111,245:icmp_seq=1807ttl-127time=0.453ms

64bytesfrom192.168.111,245:icmp_seq-18Q3ttl-127timc-O.536ms

Y

---192.168.111.245pingstatistics---

1808packetstransmitted,1726received,+82errors,4雷packetloss,time1807Q00ms

rttmin/avg/max/mdev=G.321/0.446/1.015/0.339ms

[root0host-172-16-2O2-157#|

源地址2服務(wù)器:

[root!?localhost~]猶ipr

defaultvia172.16.2虎.254devethlprotostaticmetric101

172.16.202.0/24devethlprotokerne1scope1inksrc172.16.202.16metric10

19Z.168.111.Z45via172.16.20Z.14deuethl

[root?localhostping192.168.111.Z45

PIMG192.168.111.Z45(192.168.111.Z45)56(84)bytesofdata.

如果源地址2服務(wù)器(172.16.202.16)也需要和目的地址服務(wù)

器(192.168.111.245)通信,只需要在iptables服務(wù)器上添加一條

nat規(guī)則即可

iptables-tnat-APOSTROUTING-s172.16.202.16/32-d

192.168.111.245/32-jSNAT-to192.168.111.63

[root@localhost-]#ipaddr

1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUNKNCWN

link/loopback00:00:00:00:00:00brd00:00:00:GO:00:00

inet127.0.0.1/8scopehostto

valid_lftforeverpreferred_Utforever

inet6::1/128scopehost

foreverpreferred_l^tforever

2:ethO:<BRDADCAST,MULTICAST,UP,L0WER_UP>mtu1500qdiscpfifojaststateUPqlen10Q0

link/etherfa:16:3e:8b:3c:63brdff:ff:H:ff:ff:ff

3:ethl:<BROADCAST,MULTICAST,UP,LCWER^UP>iitu1500qdiscpfifo_faststateUPqlen1000

link/etherfa;16:3e:c3:9b:G2brd仟:ff:ff:ff:ff:ff

inet172.16.202.16/24brd172.16.202.255scopeglobalethl

valid_Utforeverpreferred_Utforever

inet6fe80::f816:3eff:fec3:9b02/64scopelink

validjftforeverpreferred_Utforever

[rootelocalhost-]#ping192.168.111.245

PING192.168.111.245(192.168.111,245)56(84)bytesofdata.

64bytesfrom192.168.111.245:icmp_seq=lttl=127time=0.327ms

64bytesfrom192.168.111,245:icmp_seq=2ttl=127time=0.346ms

64bytesfrom192.168.111,245:icmp_seq=3ttl=127time=0.323ms

64bytesfrom192.168.111.245:icmp_seq=4ttl=127time=0.413ms

64bytesfrom192.168.111,245:icmp_seq=5ttl=127time=0.373ms

64bytesfrom192.168.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論