iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> -- sport 源端口 <-d 目标IP/目标子网> -- dport 目标端口 -j 动作
PS:
LUNIX7 上面独有的firewall 区域划分 public 默认区域信任区域 非信任区域
systemctl start firewalld.service LINUX7上面独有的防火墙firewall
NAT表基础拓扑实验
NAT表
NAT 地址转换
SNAT source 源地址 转换 作用场景:内部网络访问广域网
DNAT destnation 目标地址转换 作用场景:广域网主机访问内部网络服务器
1.拓扑实验环境
搭建以上iptables规则。
一共开三个虚拟机 全部网络适配器设置为仅主机模式
web1:一台centos6.5 作为内部网络内的客户端,设置ip地址为192.168.100.101
web2:一台centos7 作为外部网络,设置ip地址12.0.0.12
一台centos6.5 作为iptables防火墙(要有双网卡)一个网卡设置为内部网的网卡192.168.100.1,一个设置为外部网的网卡12.0.0.1,service network restart 重启下网卡
2.实验思路
在iptables防火墙上配置
· 清空防火墙的规则filter 默认规则
· 清空防火墙 nat规则
· vim /etc/sysctl.conf——net.ipv4.ip_forward = 1 #永久开启路由功能
· sysctl –p #重新加载配置文件
· 开始进行iptables的规则设置
3.操作步骤
1)iptables防火墙 :修改配置文件,开启路由功能
清除iptables防火墙中原有的规则(因为是实验所以删除所有iptables规则,现实中按实际情况操作)
2)SNAT source : 源地址转换
POSTOUTING链:用于源地址转换(SNAT)出站进行的过滤。
命令是:
[ root@linuxidc ~]# iptables –t nat –A POSTROUTING –s 192.168.100.0/24 –o eth0 –j SNAT --to-source 12.0.0.1
#使192.168.100.0网段的内网web服务数据包出站转换成12.0.0.1的IP地址
3)DNAT destination : 目标地址转换
PREROUTING链:用于目标地址转换(DNAT)进站进行的过滤。
命令是:
[ root@linuxidc ~]# iptables –t nat –A PREROUTING –d 12.0.0.1 –p tcp --dport 80 –i eth1 –j DNAT -- to-destination 192.168.100.101
#使通过12.0.0.1网卡的数据包发送的ip地址指向为192.168.100.101的内网web服务
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx