iptables總結(jié)_02

發(fā)布時(shí)間：2020-07-07 20:35:23 來源：網(wǎng)絡(luò) 閱讀：312 作者：poseidon2011 欄目：網(wǎng)絡(luò)安全

Q:局域網(wǎng)內(nèi)的主機(jī)的數(shù)據(jù)包如何通過linux主機(jī)傳送出去呢？

1）先經(jīng)過NAT table的PREROUTING鏈

2）經(jīng)路由判斷確定這個(gè)數(shù)據(jù)包是否要進(jìn)入本機(jī)，若不進(jìn)入本機(jī)，則下一步

3）再經(jīng)過Filter table的FORWARD鏈

4）通過NAT table的POSTROUTING鏈，最后傳送出去

POSTROUTING修改的是原IP ------> SNAT(主要應(yīng)付內(nèi)部LAN連接到Internet)

PREROUTING修改的是目標(biāo)IP ------> DNAT（主要用在內(nèi)部主機(jī)架設(shè)可以讓Internet訪問的服務(wù)器）

SNAT語法：

iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE

注：$innet 是LAN 網(wǎng)絡(luò)

$EXTIF 是對外接口

MASQUERADE ：將lan IP 偽裝成對外接口設(shè)備上的IP

iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x/x.x.x.x-x.x.x.x

(不采用IP偽裝)

DNAT語法：

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80

-j DNAT --to-destination IP[:port]

-j REDIRECT --to-ports <port number>

例子：將要求與80連接的數(shù)據(jù)包轉(zhuǎn)遞到8080這個(gè)port

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

向AI問一下細(xì)節(jié)

猜你喜歡