跳板机的应用-端口转发
2019-05-29 16:15
246 查看
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/cdnight/article/details/90673057
前言
很多时候,我们需要一些转发功能。那就是端口转发了。这篇文章为此而生。
用IPTABLES的端口转发功能实现访问位于内网的MYSQL服务器
通过跳板机连接远程mysql服务器(Linux/Windows端口转发(映射))
CentOS 7下用firewall-cmd控制端口与端口转发详解(转载)
配置过程
针对阿里云而言,
要开启iptable
systemctl restart firewalld systemctl enable firewalld
注意,一旦开启,那么ssh就会被禁止,报
没有到主机的路由
那么要新开放你的ssh端口:
firewall-cmd --add-port=22/tcp --permanent -- 保存,重启 systemctl restart firewalld -- 或者重载配置 firewall-cmd --reload
配置转发redis
假定门户机器为a,目标机器为b,
我们的转发是这样的:
外界访问a的端口[假设为63790]然后a将这个端口的信息转发到b的[6379]
首先,在a机器上面开放端口63790,然后配置转发规则:
firewall-cmd --add-port=63790/tcp --permanent -- 查看是不是允许伪装ip。 firewall-cmd --query-masquerade # 检查是否允许伪装IP -- 如果不允许的话就添加伪装ip功能 ##firewall-cmd --add-masquerade --permanent # 允许防火墙伪装IP 注意要添加永久属性 firewall-cmd --zone=public --add-masquerade --permanent -- 配置转发规则 firewall-cmd --add-forward-port=port=63790:proto=tcp:toaddr=192.168.0.1:toport=6379 --permanent -- a上面重载规则 firewall-cmd --reload
附录-参考资料
#!/bin/sh #查看iptables现有规则 iptables -L -n #先允许所有,不然有可能会杯具 iptables -P INPUT ACCEPT #清空所有默认规则 iptables -F #清空所有自定义规则 iptables -X #所有计数器归0 iptables -Z #允许来自于lo接口的数据包(本地访问) iptables -A INPUT -i lo -j ACCEPT #开放22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #开放21端口(FTP) iptables -A INPUT -p tcp --dport 21 -j ACCEPT #开放80端口(HTTP) iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开放443端口(HTTPS) iptables -A INPUT -p tcp --dport 443 -j ACCEPT #允许ping iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #其他入站一律丢弃 iptables -P INPUT DROP #所有出站一律绿灯 iptables -P OUTPUT ACCEPT #所有转发一律丢弃 iptables -P FORWARD DROP #保存 service iptables save #重启动 serv systemctl restart iptables.service
端口转发资料
一、firewalld 守护进程 firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。 当我们修改了某些配置之后(尤其是配置文件的修改),firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启firewalld服务,建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话,而重启服务则会断开tcp会话。 二、控制端口/服务 可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。 firewall-cmd --add-service=mysql # 开放mysql端口 firewall-cmd --remove-service=http # 阻止http端口 firewall-cmd --list-services # 查看开放的服务 firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306 firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306 firewall-cmd --add-port=233/udp # 开放通过udp访问233 firewall-cmd --list-ports # 查看开放的端口 三、伪装IP 防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。 firewall-cmd --query-masquerade # 检查是否允许伪装IP firewall-cmd --add-masquerade # 允许防火墙伪装IP firewall-cmd --remove-masquerade# 禁止防火墙伪装IP 四、端口转发 端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题: 比如我将80端口转发至8080端口,首先检查本地的80端口和目标的8080端口是否开放监听了 其次检查是否允许伪装IP,没允许的话要开启伪装IP # 将80端口的流量转发至8080 firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1 # 将80端口的流量转发至192.168.0.1的8080端口 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。 总结 以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
centos7 firewall指定IP与端口访问(常用)
指定IP与端口 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept" 指定ip段可以访问 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="5432" accept" 查看配置结果 firewall-cmd --list-all 删除规则 firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"
相关文章推荐
- 应用netcat实现端口转发
- SSH 端口转发场景应用
- 私人IP和公共IP网络应用在WIZ107SR的端口转发
- GCE 端口被限制 利用跳板机的 iptables 转发解决方案!
- SSH高级应用(端口转发-防火墙穿透)
- 内网端口转发与内网映射外网的区别和应用,发布网站访问内网
- mac 上使用跳板机的端口转发 访问外网服务器
- SSH高级应用(端口转发)
- Linux下iptables端口转发实现跳转访问数据库应用场景:假设有A、B、C三台设备,A<
- CentOS下开启配置端口转发
- VMware虚拟机偶尔无法实现拖曳功能的解决办法以及Vmware虚拟机NAT连接模式进行端口转发
- 深入理解ssh端口转发细节
- 网络地址转换NAT原理及应用-连接跟踪--端口转换*******************
- SSH 端口转发
- SSH隧道与端口转发及内网穿透
- KVM使用NAT联网并为VM配置iptables端口转发
- mac 使用 pf 做端口转发
- 【IOS学习】消息转发和它的实际应用
- 实战 SSH 端口转发
- 通过一个tomcat端口访问多个tomcat项目 tomcat转发