• 周蓬安.blog的博客—强国博客—人民网 2019-05-10
  • 紫光阁中共中央国家机关工作委员会 2019-05-10
  • 感触名家笔下的端午文化吃香粽原来可以这样文艺 2019-05-09
  • 追梦夺冠游行嘲讽詹皇 百万人面前穿订制T恤羞辱他 2019-04-27
  • 《瘟疫传说》:黑死病恐怖 姐弟在绝望中求生 2019-04-10
  • 陕西国防工业职业技术学院百名大学生志愿者敬老院慰问孤寡老人陕西国防工业职业技术学院百名大学生志愿者敬老院慰问-陕西教育新闻 2019-04-08
  • 西藏拉萨:新家园 新生活 2019-04-08
  • 尊重和保障宗教信仰自由的中国实践 2019-04-06
  • 一敬泯恩仇 俄罗斯队主帅这个动作太暖了 2019-03-20
  • 四大名著剧组首次同台忆往事 经典影视剧如何铸就? 2018-12-07
  • “天眼”凝望 探秘宇宙 2018-12-07
  • 0

    几个 iptables 常用的配置

    Posted by 撒得一地 on 2016年8月9日 in Linux笔记
    国外稳定加速器推荐    Express | Vypr

    虽然 iptables 教程、文档看了好多,但是平时用的很少,遇到需求的时候总是各种 google 或者查看现有机器上面的配置。于是决定将常用的配置在下面写下来,以后会不定期更新的。

    1、端口映射:本地 80 –> 本地 8080

    适用场景: tomcat 降权运行不能监听80端口

    (当然,如果机器上面运行这 nginx 或者 apache 之类的 http 服务器,用它们来做反向代理也是不错的选择。)

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
    
    

    不足:访问 localhost:80 的时候就无力了,因为本地转发经过的 iptables 链有点区别,不再细讲。

    2、端口映射:本地 222 –> 外部 22

    适用场景:本机作为路由或者NAT设备,A网络到B网络的 端口映射

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -j DNAT --to 192.168.3.3:22
    # 先建立 DNAT 规则,这里将 eth0 接口上面222端口的数据包,全部转发到 192.168.3.3:22上面
    	
    # 数据包来源: -i [收到数据包的网卡] -d [收到数据包的ip地址] 这两种参数都可以接受
    
    iptables -I FORWARD -p tcp -d 192.168.3.3 --dport 22 -j ACCEPT
    # FORWARD链添加转发条目,接受发往192.168.3.3 22端口的数据包
    

    网络上找到的有的方案中,还配置了一个和 DNAT 对应的 反过来的 SNAT 规则,实际测试并不需要,即可正常工作。

    另外,第二条添加转发的条目,我使用的是 -I 参数,也就是插入在 FORWARD 链其他条目前面。因为今天发现,libvirtd,也就是 KVM 虚拟机的 NAT 网络默认阻止了所有连接内部网络的包(当然,状态为 RELATED, ESTABLISHED的允许通过,可以通过 iptables -t filter -L 查看)

    3、NAT 数据包转发

    适用场景:提供 NAT 服务

    假设: eth0 连接外网,eth1连接内网

    	iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    	# 使用地址伪装,这是一种 NAT 技术,比手动配置 SNAT 更方便
    
    	iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    	# 外网连入内网的包,只允许通过特定状态的包
    
    	iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    	# 内网发往外网的数据,全部允许
    

    4、iptables 规则匹配多端口

    这只是一个小细节的记录

    比如上面第二点端口映射,如果映射了多个端口,最后添加FORWARD 规则的时候可以这样:

    	iptables -t filter -I FORWARD -p tcp -d 192.168.3.3 -m multiport --dports 22,80,443 -j ACCEPT
    	# 这里加载了 multiport ???,然后才有 --dports 选项可用
    

    那么问题来了,如何一次设定多个 DNAT 端口映射?如果监听端口和目的端口相同,也许可以直接 –to 目的ip,不加端口的方式;如果端口不同,比如上面那个222–>22,这样好像就不能多个端口同时映射了。(当然,这些都是猜测,哪天无聊的时候可以玩玩)

    原文://blog.kings-way.info/?p=623

    上一篇:

    下一篇:

    相关推荐

    发表评论

    电子邮件地址不会被公开。 必填项已用*标注

    3 + 9 = ?

    网站地图|广东快乐10分开奖直播

    Copyright © 2015-2019 广东快乐10分开奖直播 All rights reserved.
    闽ICP备15015576号-1,版权所有?psz.

  • 周蓬安.blog的博客—强国博客—人民网 2019-05-10
  • 紫光阁中共中央国家机关工作委员会 2019-05-10
  • 感触名家笔下的端午文化吃香粽原来可以这样文艺 2019-05-09
  • 追梦夺冠游行嘲讽詹皇 百万人面前穿订制T恤羞辱他 2019-04-27
  • 《瘟疫传说》:黑死病恐怖 姐弟在绝望中求生 2019-04-10
  • 陕西国防工业职业技术学院百名大学生志愿者敬老院慰问孤寡老人陕西国防工业职业技术学院百名大学生志愿者敬老院慰问-陕西教育新闻 2019-04-08
  • 西藏拉萨:新家园 新生活 2019-04-08
  • 尊重和保障宗教信仰自由的中国实践 2019-04-06
  • 一敬泯恩仇 俄罗斯队主帅这个动作太暖了 2019-03-20
  • 四大名著剧组首次同台忆往事 经典影视剧如何铸就? 2018-12-07
  • “天眼”凝望 探秘宇宙 2018-12-07
  • 广东时时彩怎么玩 北京赛车pk10统计数据 德州扑克 网站 生肖时时彩玩法规则 世界杯足彩半全场推荐 内蒙古时时彩形态走 88娱乐城 pk10输八万怎么回本 幸运飞艇冠亚小2.2 金蟾捕鱼 北京pk10开奖直播走势图 江西多乐彩开奖结果一 3d溜溜 欢乐生肖开奖现场 北京赛车pk10单双倍投 北京赛车官方