iptables

最新推荐文章于 2025-07-04 09:00:00 发布
原创 最新推荐文章于 2025-07-04 09:00:00 发布 · 960 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

目录

引言

Linux 防火墙在很多时候承担着连接企业内、外网的重任,除了提供数据包过滤功能以外,还提供一些基本的网关应用

一、SNAT策略及应用

SNAT 是 Linux 防火墙的一种地址转换操作,也是 iptables 命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源 IP 地址。

1. SNAT策略概述

  • 随着 Internet 网络在全世界范围内的快速发展,IPv4 协议支持的可用IP地址资源逐渐变少,资源匮乏使得许多企业难以申请更多的公网 IP 地址,或者只能承受一个或者少数几个公网 IP 地址的费用
  • 大部分企业面临着将局域网内的主机接入 Internet 的需求
  • 通过在网关中应用 SNAT 策略,可以解决局域网共享上网的问题

2. SNAT策略工作原理

只开启路由转发,未设置地址转换的情况

  • 正常情况下,作为网关的 Linux 服务器必须打开路由转发,才能沟通多个网络;
  • 未使用地址转换策略时,从局域网 PC 访问 Internet 的数据包经过网关转发后其源 IP 地址保持不变,当 Internet 中的主机收到这样的请求数据包后,响应数据包将无法正确返回(私有地址不能在 Internet 中正常路由),从而导致访问失败。

开启路由转发,并设置 SNAT 转发的情况

  • 当局域网 PC 访问 Internet 的数据包到达网关服务器时,会先进行路由选择,若发现该数据包需从外网接口向外转发,则将其源 IP 地址修改为网关的外网接口地址,然后才发送给目标主机;
  • 相当于从网关服务器的公网 IP 地址提交数据访问请求,目标主机也可以正确返回响应数据包,最终实现局域网 PC 共享同一个公网 IP 地址接入 Internet。
  • 上述 SNAT 转换地址的过程中,网关服务器会根据之前建立的 SNAT 映射,将响应数据包正确返回局域网中的源主机。
  • 因此,只要连接的第一个包被 SNAT 处理了,那么这个连接及对应数据流的其他包也会自动地被进行 SNAT 处理;
  • 另一方面,Internet 中的服务器并不知道局域网 PC 的实际 IP 地址,中间的转换完全由网关主机完成,一定程度上也起到了保护内部网络的作用。

3. SNAT策略的应用

  • SNAT 的典型应用是为局域网共享上网提供接入策略,处理数据包的切入时机是在路由选择之后(POSTROUTING)进行,关键操作是将局域网外发数据包的源 IP 地址(私有地址)修改为网关服务器的外网接口 IP 地址(公有地址)
  • SNAT策略只能用在nat表的POSTROUTING链,使用iptables命令编写SNAT策略时,需要结合
    "- -to-source IP地址"选项来指定修改后的源IP地址

4. SNAT 策略用法

4.1 案例环境说明

在这里插入图片描述

4.2 打开网关的路由转发

Linux 系统本身是没有转发功能的,只有路由发送数据

  • 临时开启路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sysctl -W net.ipv4.ip_forward=1
  • 永久开启路由转发功能
vim /etc/sysctl.conf
...
net.ipv4.ip_forward =1           #将此行写入配置文件,0改为1

sysctl -p                        #读取修改后的配置

4.3 正确设置SNAT策略

  • 通过分析得知,需要针对局域网 PC 访问 Internet 的数据包采取 SNAT 策略,将源地址更改为网关的公网IP地址,参考以下操作在网关中设置防火墙规则。
  • 若要保持 SNAT 策略长期有效,应将相关命令写入到 rc.local 配置文件,以便开机后自动设置
iptables -t nat -A POSTROUTING
最低0.47元/天 解锁文章

200万优质内容无限畅学
iptables(12)实际应用举例:策略路由、iptables转发、TPROXY
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-27 2601
策略路由(Policy-Based Routing, PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。允许管理员根据特定的策略来决定数据包的路由路径,这些策略可以基于数据包的源地址、目的地址、协议类型、端口号等多种因素。路由器将通过PBR决定如何对需要路由的数据包进行处理,PBR决定了一个数据包的下一跳转发路由器。路由策略(Routing Policy)主要是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (
lu6603547的博客
04-14 857
解决wsl centos8中docker报错 iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (No such file or directory): chain PREROUTING (exit status 4)
iptables路由
ai0xue的专栏
01-15 310
4表5链 4表(nat、filter、mangle、raw) 5链包括:INPUT(对应①)、OUTPUT(对应②)、FORWORD(对应③)、PREROUTING(对应④)、POSTROUTING(对应⑤) ①数据包达到服务器; ②数据包离开服务器 ③数据包在服务器内进行传播,比如先经过一个程序处理,得到的结果丢给第二个程序继续处理,也有可能是,数据本身是从服务器发出去的,在另外一台机器上处理完以后,又把数据包发回来,或者说就是路由的情况; ④服务器作为中转站,数据包到达服务器之后并不实际进入服务器内部,
iptables防火墙,多IP环境下, 指定某个目的IP地址通过某个本地IP访问,策略路由!
最新发布
https://ophome.blog.csdn.net,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
07-04 248
在CentOS7.9中配置从源IP 10.0.0.3访问目标网段1.1.1.0/24有三种方法:1)策略路由:创建自定义路由表,添加默认路由和策略规则,并绑定源IP;2)iptables SNAT:添加SNAT规则修改源IP;3)直接添加路由。配置后需验证规则是否生效,注意网关一致性、路由优先级和防火墙冲突。持久化配置需保存规则和路由表文件,并确保文件权限正确。验证方法包括查看策略规则、NAT规则和测试流量源IP。
linux查询路由表local、路由表main、路由表default
chenliang0224的专栏
12-27 7606
转发:https://blog.csdn.net/u011068702/article/details/53899537   在 Linux 系统启动时,内核会为路由策略数据库配置三条缺省的规则:  0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。   32766 ...
iptables配置策略路由
linux_s2018的博客
04-24 1172
        使用iptables+mark+ipru 实现策略路由,需要配置rp_filter参数为0.        rp_filter是CentOS的路由追踪机制
iptables做路由
zhajianc的博客
09-16 558
Machine A: 192.168.200.10 Machine B: 192.168.198.50 Iptables Machine: eth0 192.168.200.11                                  eth1 192.168.198.11 1. Machine A(windows):  route -p add 192.168.198
Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptablesLinux系统中用于配置和管理防火墙规则的工具。在本次提供的rpm压缩包文件中,包含了iptables及其依赖的rpm安装包。该压缩包的文件名为"iptables-1.4.21-35.el7.x64-86.rpm.tar.gz",解压后会得到一系列rpm...
iptables-services-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables是一种在Linux系统中广泛使用的用于配置和控制防火墙规则的工具,它工作在内核空间的netfilter模块上,是许多Linux发行版中默认的防火墙管理器。iptables-services-1.4.21-35.el7.x86_64.rpm是iptables服务...
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz 是一个包含多种rpm包的压缩文件,用于在Linux系统的RPM包管理系统上安装iptables开发环境所需的文件。iptables是一个用于配置Linux内核防火墙的命令行工具,广泛...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
路由及iptables学习笔记
weixin_33971205的博客
07-27 142
启动linux路由功能 echo "echo 1 >/proc/sys/net/ipv4/ip_forward" >> /etc/rc.d/rc.local 或者修改 vi /etc/sysctl.conf net.ipv4.ip_forward =1 也是开启路由转发功能 查看\添加\修改\删除linux静态路由 route -n 显示...
iptables之mangle表应用实现策略路由+(案例)
weixin_33979745的博客
06-15 193
iptables之mangle表应用实现策略路由;前面的文章已经讲解了:mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。mangle...
iptables路由转发及控制
weixin_30772261的博客
01-19 159
基于状态的iptables(就是一个包过滤的条件) 包过滤的条件: 如: -p 协议 -sport/dport xxx -s/-d xxxx -m state --state 状态 如果按照tcp/ip来划分连接状态,有11种之多 但iptables里只有4种状态;ESTABLISHED、NEW、RELATED及INVALID 这两...
【docker系】iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 18086 -j DNAT --to-destination
run_boy_2022的博客
03-16 364
docker在防火墙关闭情况下,重启容器后发生的异常
docker容器iptables failed:&…
blueyan163的博客
03-31 6878
今天tomcat的docker容器挂了,只要是带命令-p 映射端口就起不来并且报错: Error response from daemon: Cannot start container eb9d501f56bc142d9bf75ddfc7ad88383b7388ca6a5959309af2165f1fff6292: iptables failed: iptables --wait -nat 
利用Iptables构建虚拟路由器
傻傻的心动的博客
03-09 1734
利用Iptables构建虚拟路由器 (1)修改网络类型 在VMware Workstation软件中选择“编辑→虚拟网络编辑器”菜单命令,在虚拟网络列表中选中VMnet1,将其配置为“仅主机模式(在专用网络内连接虚拟机)”,设置子网IP为192.168.1.0,子网掩码为255.255.255.0,完成后单击“确定”按钮,如图1-41所示。 图1-41 设置主机网络模式 (2)添加网络适配器 在虚拟网络编辑器中添加一个虚拟网络VMnet2,配置为“仅主机模式”,设置子网IP为“192.168
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值