您的位置:首页 > 运维架构 > Linux

使用iptables给内网服务器做端口映射

2018-07-15 19:45 567 查看

iptables filter 表案例

iptables的语法规则
iptables -nvL 查看规则
iptables -F 清空规则
iptables save 保存写入的规则
iptables -Z 清空iptables的数据流计数器
iptables -A INPUT -s 源IP -p tcp --sprot 来源端口 -d 目标IP --dport 目标端口 -j DROP/ACCEPT 指定放行的数据流和端口
iptables -I/-A/-D INPUT -s 源IP -j DROP 添加一条简单的匹配规则
iptables -nvL --line-numbers 列出规则的排列序号,例如用于根据序号来删除某条规则
iptables -P INPUT DROP 用于修改链的默认policy(规则),修改前需确认是否会影响数据连接

[root@localhost tmp]# cat ipt.sh
#!/bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type 8 -j DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
这条语句是用来指定放行正在通信状态的数据,RELATED,ESTABLTLSHED 这是一种连接状态,放行数据流的通行状态,是一种数据流的状态(tcp/ip握手的传输状态),可以通过netstat 的统计来查看通信有哪些状态,根据需要放行这些状态的数据包才能够正常通信

iptables -A INPUT -p icmp --icmp-type 8 -j DROP 拒绝icmp的ping的数据包
拒绝掉ping的数据流量,--icmp-type 是指定tcp数据的类型,8则是这个数据的协议号

Iptables参数
-m state --state <状态>
有数种状态,状态有:
INVALID:无效的封包,例如数据破损的封包状态
ESTABLISHED:已经联机成功的联机状态;
NEW:想要新建立联机的封包状态;
RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设定了他之后,只要未来由本机发送出去的封包,即使我们没有设定封包的 INPUT 规则,该有关的封包还是可以进入我们主机, 可以简化相当多的设定规则。

nat表应用-1

实践需求:



VMware操作(仅用于实践,没有实际意义),在VMware克隆一台相同的虚拟机,原虚拟机增加一块网卡,克隆的虚拟机在网卡配置中重新生成一个新的网卡MAC地址,否则会造成MAC地址冲突导致网络不通
生成新MAC地址



克隆虚拟机上生成一个新的MAC地址
两个网卡的NAT转发服务器和内网服务器都设置为同一类型网卡,这里我设置的是VMnet1仅主机网络,不过这时候在客户端还是能直接连接上192.168.2.22的,下面再做其他设置拒绝掉客户端直接访问



在解决了mac地址冲突问题后,可以正常使用LAN模式的网络了
设置完毕内网服务器192.168.2.22可以跟192.168.2.33通信,而192.168.2.33的这台服务器公网IP192.168.182.128又可以跟192.168.1.113的客户端通信,这一步网络设置完成,这些步骤仅是VMware中操作,现实中服务器只需要配置相对应的两个网卡(网口)的IP地址,实现物理服务器互相访问即可

nat应用-2

想要192.168.1.113直接访问192.168.2.22的话还需要进一步设置,在192.168.182.128的NAT转发服务器上打开端口转发

[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@localhost ~]# cat !$
cat /proc/sys/net/ipv4/ip_forward
1

192.168.182.128上添加转发规则,使192.168.2.0网段能够上网

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ens33 -j MASQUERADE
[root@localhost ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 2 packets, 224 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 2 packets, 224 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ens33 192.168.2.0/24 0.0.0.0/0

192.168.2.22内网服务器设置网关,指定192.168.2.33为默认网关,网络需要拥有一个网关出口才能与其他网段主机进行通信,这里需要指定的网关为一台能够与外网通信的服务器的一个内网ip,需要这台服务器能够访问外网也能访问内网,添加好的默认路由如下

[root@localhost ~]# route add default gw 192.168.2.33
[root@localhost ~]# route -n
destination          Gateway          Genmask        Flags   Metric   Ref   Use    Iface
0.0.0.0              192.168.2.33     0.0.0.0        UG      0        0     0      ens34
192.168.2.0          0.0.0.0          255.255.255.0  U       100      0     0      ens34

为内网服务器添加 DNS服务器解析地址,并测试是否能够ping通外网,能够访问外网,但是此时的服务器网络还不能够让客户端从外网ip访问到内网的这台服务器,我们还需要设置iptables端口转发规则
[root@localhost ~]# vim /etc/resolv.conf

Generated by NetworkManager

nameserver 119.29.29.29

[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (61.135.169.121) 56(84) bytes of data.
64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=1 ttl=128 time=5.49 ms
64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=2 ttl=128 time=5.15 ms
64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=3 ttl=128 time=6.22 ms

net表应用-3

需求:内网服务器可以访问公网,但是公网依旧不能访问内网的这台服务器,这里我们需要使用iptables做端口映射,把需要转发的数据通过某些端口转发出去,这样才能够使公网能够访问内网服务器
转发服务器打开路由转发

[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

设置转发规则,让内网能够访问外网,这条规则作用于内网服务器访问外部网络,做端口转发时需要[b]删除此条规则,因为这条规则会影响端口转发过程[/b]
[root@localhost ~]# iptables -t nat -D POSTROUTING -s 192.168.2.0/24 -o ens33 -j MASQUERADE

在转发的NAT服务器上添加转发的iptables规则,-d这里指的目标地址是转发服务器的公网ip,并非客户端的ip地址,这里是个误区,在实践中会把客户端ip当成为目标ip,设置完成后保存规则即可

[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.182.128 -p tcp --dport 1122 -j DNAT --to 192.168.2.22:22
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.2.22 -j SNAT --to 192.168.182.128

连接内网的192.168.2.22服务器,远程的连接并非内网服务器的ip地址(显得非常蠢- -),而是做了转发的转发服务器的外网ip。根据转发端口指定要连接的内网服务器。如转发的1122端口对应的是192.168.2.22的22端口,这样连接192.168.182.128时写入远程ssh的1122端口就会转发到192.168.2.22服务器上,如图(192.168.182.128服务器和192.168.2.22服务器的ip状态 ):

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  iptables 映射 linux