iptables防火牆nat表實現共享上網規則策略實戰

時間 2020-07-23

標籤 iptables 防火牆 nat 實現共享上網規則策略實戰欄目系統網絡简体版

原文原文鏈接

第一個里程碑：配置內網服務器，設置網關地址
/etc/init.d/iptables stop --- 內網服務器中止防火牆服務
ifdown eth0 --- 模擬關閉內網服務器外網網卡
setup --- 修改內網網卡網關和DNS地址信息
route add default gw 172.16.1.200
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
0.0.0.0 172.16.1.200 0.0.0.0 UG 0 0 0 eth1
說明：內網服務器網關地址指定爲共享上網服務器內網網卡地址vim

第二個里程碑：配置共享上網服務器，開啓共享上網服務器路由轉發功能
[root@oldboyedu42-lnb-02 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 ---有0改成1 開啓路由轉發功能
[root@oldboyedu42-lnb-02 ~]# sysctl -p ---內核加載生效
net.ipv4.ip_forward = 1服務器

第三個里程碑：配置共享上網服務器，實現內網訪問外網的NAT映射
1.開啓防火牆並設置訪問策略
/etc/init.d/iptables start
iptables -F ---清空防火牆規則
iptables -X ---刪除自定義鏈
iptables -Z ---清空計數器
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2.改變filte表中鏈的默認規則策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
3.利用nat表實現源地址轉換,把內網ip映射成公網ip
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to- source 10.0.0.200
-s 172.16.1.0/24 --- 指定將哪些內網網段進行映射轉換
-o eth0 --- 指定在共享上網哪一個網卡接口上作NAT地址轉換
-j SNAT --- 將源地址進行轉換變動
-j DNAT --- 將目標地址進行轉換變動
--to-source ip地址 --- 將源地址映射爲何IP地址
--to-destination ip地址 --- 將目標地址映射爲何IP地址tcp

第四個里程碑:forward默認drop策略，須要配置filter表的forward鏈
iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT
ide

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。