控制iptables的nat转发端口的实现 推荐
2014-10-08 12:10
776 查看
【第一、需求描述】
员工通过办公网络的网关服务器(linux)192.168.1.250的snat访问另外一个局域网:安全中心(10.1.1.0/24),但是为了提高安全性,只允许访问安全中心的指定端口。
【第二、方案实施】
【第三、技术详解】
POSTROUTING链的输入来源是INPUT及FORWARD,即
INPUT->POSTROUTING
FORWARD->POSTROUTING
这里SNAT都是从FORWARD过来的,所以可以通过控制FORWARD链控制SNAT的端口的白名单
员工通过办公网络的网关服务器(linux)192.168.1.250的snat访问另外一个局域网:安全中心(10.1.1.0/24),但是为了提高安全性,只允许访问安全中心的指定端口。
【第二、方案实施】
#cat /etc/sysconfig/iptables #只允许nat转发的指定的端口22,80 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [1:92] :OUTPUT ACCEPT [1:92] #从192.192.191.1这个ip出去,SNAT -A POSTROUTING -d 10.1.1.0/24 -j SNAT --to 192.192.191.1 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0]#默认转发是关闭的 :OUTPUT ACCEPT [0:0] -A FORWARD -d 10.1.1.0/24 -p tcp --dport 22 -j ACCEPT#允许访问10.1.1.0/24的22端口 -A FORWARD -d 10.1.1.0/24 -p tcp --dport 80 -j ACCEPT#允许访问10.1.1.0/24的80端口 -A FORWARD -d 10.1.1.0/24 -p icmp -j ACCEPT#允许ping 10.1.1.0/24 COMMIT
【第三、技术详解】
POSTROUTING链的输入来源是INPUT及FORWARD,即
INPUT->POSTROUTING
FORWARD->POSTROUTING
这里SNAT都是从FORWARD过来的,所以可以通过控制FORWARD链控制SNAT的端口的白名单
相关文章推荐
- iptables实战系列:通过NAT转发实现私网对外发布信息 推荐
- 配置iptables NAT端口转发 实现内网服务器端口提供公网接入
- iptables实战系列:通过NAT转发实现私网对外发布信息
- Linux 下iptables实现NAT转发上网
- 烂泥:KVM使用NAT联网并为VM配置iptables端口转发
- iptables端口转发访问ftp nat设置详解
- 通过iptables实现端口转发和内网共享上网
- iptables的Nat转发和端口重定向
- centos6.5 iptables实现端口转发
- 编写iptables脚本实现IP地址、端口过滤 推荐
- LVS + iptables 实现端口转发(DR模式)
- VMware虚拟机偶尔无法实现拖曳功能的解决办法以及Vmware虚拟机NAT连接模式进行端口转发
- iptables外网一端口通过NAT转发内网一服务器端口上
- 用iptables 实现本地端口转发
- Iptables 实现端口转发
- 用iptables 实现本地端口转发
- Linux系统上Iptables实现端口转发的过程
- iptables实现端口转发
- iptables实现端口转发
- 配置iptables实现端口转发