溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

linux下軟件防火墻iptables——nat表規(guī)則的設(shè)定示例

發(fā)布時(shí)間:2020-11-19 11:07:25 來(lái)源:億速云 閱讀:222 作者:小新 欄目:建站服務(wù)器

這篇文章主要介紹linux下軟件防火墻iptables——nat表規(guī)則的設(shè)定示例,文中介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們一定要看完!

iptables除了最常用的filter表外,偶爾也會(huì)用到nat表。nat即網(wǎng)絡(luò)地址轉(zhuǎn)換,它是用來(lái)修改源ip地址或目的ip地址的。現(xiàn)在我們看下簡(jiǎn)單的數(shù)據(jù)包通過(guò)iptables到后端主機(jī)的表格與鏈的流程。

1.經(jīng)過(guò)NAT表的PREROUTING鏈

2.經(jīng)過(guò)路由判斷該數(shù)據(jù)包是否要進(jìn)入本機(jī),若不進(jìn)入,則執(zhí)行下一步操作

3.經(jīng)過(guò)Filter的FORWARD鏈

4.經(jīng)過(guò)NAT表的POSTROUTING鏈,最后傳送出去

和NAT相關(guān)的是第一步和最后一步,也就是PREROUTING鏈和POSTROUTING鏈。

  • PREROUTING鏈修改的是目的IP,簡(jiǎn)稱DNAT

  • POSTROUTING鏈修改的是源IP,簡(jiǎn)稱SNAT

DNAT

那么哪些場(chǎng)景需要用到DNAT,對(duì)于SNAT常見(jiàn)的應(yīng)用有哪些呢?對(duì)于DNAT,最常見(jiàn)的是將內(nèi)網(wǎng)的端口映射到外網(wǎng)中,讓其他用戶可以訪問(wèn)。這樣做內(nèi)網(wǎng)的安全性大大提升,因?yàn)橥饩W(wǎng)是不能直接和內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸?shù)摹?/p>

場(chǎng)景:內(nèi)網(wǎng)有一臺(tái)主機(jī)A(192.168.1.111)上面架設(shè)了一個(gè)網(wǎng)站,內(nèi)網(wǎng)中還有一臺(tái)主機(jī)B(192.168.1.2)具有公網(wǎng)ip(39.100.92.12),那么如何讓外網(wǎng)的用戶訪問(wèn)到A上面的網(wǎng)站。

這個(gè)時(shí)候,就需要對(duì)B主機(jī)上做DNAT操作,讓目的地址從公網(wǎng)ip39.100.92.12修改為內(nèi)網(wǎng)地址192.168.1.111。操作如下:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
> -j DNAT --to-destination 192.168.1.111:80

PREROUTING鏈中除了能夠?qū)p做修改,還能對(duì)端口進(jìn)行修改。比如將80端口映射為8080端口,但操作名已經(jīng)不叫DNAT,而是REDIRECT。

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
> -j REDIRECT --to-ports 8080

SNAT

對(duì)于SNAT,我們最常見(jiàn)的應(yīng)用是內(nèi)網(wǎng)機(jī)器通過(guò)代理服務(wù)器上網(wǎng),內(nèi)網(wǎng)的主機(jī)沒(méi)有公網(wǎng)IP,那么內(nèi)網(wǎng)的主機(jī)數(shù)據(jù)包通過(guò)代理服務(wù)器后,代理服務(wù)器就需要將該數(shù)據(jù)包的源地址修改為該代理服務(wù)器的公網(wǎng)ip。

場(chǎng)景:內(nèi)網(wǎng)有一臺(tái)主機(jī)A(192.168.1.111),內(nèi)網(wǎng)中還有一臺(tái)主機(jī)B(192.168.1.2)具有公網(wǎng)ip(39.100.92.12),那么對(duì)于主機(jī)A怎么操作可以連接到公網(wǎng)。

# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 \
> -j SNAT --to-source 39.100.92.12

對(duì)于DNAT以及SNAT的操作不是很復(fù)雜,主要是要理解DNAT以及SNAT的應(yīng)用場(chǎng)景,剛開(kāi)始學(xué)的時(shí)候容易弄混淆,希望大家能主要到它們的區(qū)別。

以上是linux下軟件防火墻iptables——nat表規(guī)則的設(shè)定示例的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對(duì)大家有幫助,更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI