第7周第4次课(5月10日)
课程内容:
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
扩展
1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html
10.15 iptables filter表案例
案例需求:需要把80、22、21端口放行,但是22端口需要指定一个IP段,只有这个IP段的IP访问的时候才可以访问到,其他IP段的一概拒绝。
可以通过一个脚本实现,脚本其实就是批量执行一些命令。
操作实例如下:
vim /usr/local/sbin/iptables.sh 编辑这个文件,加入如下内容。
#! /bin/bash
ipt="/usr/sbin/iptables" ipt定义一个变量,以全局的绝对路径方式。
$ipt -F -F把之前的规则清空
$ipt -P INPUT DROP 把默认的策略定义一下
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
PS:第一条规则目的是为了把相关数据包进行连接,通讯更加顺畅。
第二条规则指定IP段的数据包放行
第三条规则把80端口放行
第四条规则把21端口放行
因为有一个DROP,所以需要使用脚本,可以批量执行命令,如果不用脚本那么客户端就会断开。
ICMP案例 iptables -I INPUT -p icmp --icmp-type 8 -j DROP 可以ping通公网,但是无法ping本机IP,主要实现的目的就是禁止ping本机,type 8表示有8种类型。
10.16/10.17/10.18 iptables nat表应用
需求1:可以让B机器连接外网
操作实例如下:
1、首先需要准备2台机器并配置网卡,可以在虚拟机jimmylinux-001上面添加一个虚拟网卡。
按照默认方式添加后点完成
按如下图顺序操作
2、同样把jimmylinux-002添加一块虚拟网卡,方法同上,需要特别注意的是2台机器必须要选择同一个区段,同一个交换机。
添加完2台机器的虚拟网卡后都需要重启系统,重启好后再连接查看网卡信息。
需要给ens37网卡添加一个IP地址,我们可以通过命令方式修改IP或者copy一份ens33网卡配置文件修改IP和netmask即可。
[root@jimmylinux-002 ~]# ifconfig ens37 192.168.100.1/24 手动命令行方式修改IP
这个IP重启系统就自动失效了,如果想永久生效,就是copy一份ens33的网卡配置文件并修改IP。
第二台机器因为把网卡连接断开了,所以无法直接从远程终端登录,只能够到VMware虚拟机登录。
登录后同样使用命令行方式修改ens37网卡的IP
下面开始排查无法ping通A机器的问题
在虚拟机先看看B机器是否可以ping通自己
然后在远程终端看看A机器ens37网卡状态
[root@jimmylinux-002 ~]# ifconfig ens37 192.168.100.1/24 重新使用命令指定IP
[root@jimmylinux-002 ~]# ping 192.168.100.100 再ping B机器就可以ping通了
同样在虚拟机上面ping A机器也可以ping通了
通过上面的操作,已经把准备工作做好了。
1、要想使用nat表网络转发,必须要修改内核参数,默认这个文件/proc/sys/net/ipv4/ip_forward是0,如果是0表示它没有开启内核转发。
2、增加一条规则,有了这条规则就可以实现上网了。
[root@jimmylinux-002 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
这条规则就是想让192.168.100.0这个网段能够上网
3、B机器上需要设置网关为192.168.100.1
再去ping A机器的ens33网卡IP就可以ping通了
在B机器上面修改vi /etc.resolve.conf 添加DNS nameserver 119.29.29.29保存退出
如果可以ping通119.29.29.29或www.qq.com,就说明可以访问公网了。
在这个场景里面,A机器就好比路由器,B机器就是客户端,比如是手机。
需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
在cmd里面ping B机器还是不通,每次操作都需要在虚拟机操作太麻烦,我想在远程终端登录,这个时候既然不能够直接连接192.168.100.100,但是可以连接192.168.52.129,A机器可以连,那我可以通过A机器跳转到B机器做一个跳转,这个就叫端口隐射。
1、第一步同样是打开端口转发
2、添加规则,但是需要把先前添加的规则删除,避免影响到现在的操作。
[root@jimmylinux-002 ~]# iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
删除之前的规则后重新添加新的规则,把进来的包做一个转发,到100.100:22端口。
[root@jimmylinux-002 ~]# iptables -t nat -A PREROUTING -d 192.168.52.129 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
在添加一个回来的包的规则
[root@jimmylinux-002 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.52.129
从100.100回来的包经过A机器再做一个SNAT操作,把目标地址改成192.168.52.129
3、在B机器上面添加网关192.168.100.1 需求1已经添加,所以这里不用在添加了。
都设置好以后,在使用远程终端连接,如果可以连接成功并且能够ping通公网www.qq.com 说明实验成功。