iptables 的两个小案例

使用小键盘 vt模式设置为普通

/etc/sysconfig/iptables 重启的时候调用规则

iptables小案例

vi /usr/local/sbin/iptables.sh //加入如下内容

#! /bin/bash

ipt="/usr/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT让相关的数据包相互连接，这两个状态放行，通信更加顺畅

$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

icmp示例

iptables -I INPUT -p icmp --icmp-type 8 -j DROP 禁止ping 本机

nat表应用

A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1)，ens33可以上外网，ens37仅仅是内部网络，B机器只有ens37（192.168.100.100），和A机器ens37可以通信互联。

需求1：可以让B机器连接外网

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

B上设置网关为192.168.100.1

需求2：C机器只能和A通信，让C机器可以直接连通B机器的22端口

A上打开路由转发echo "1">/ proc/sys/net/ipv4/ip_forward

A上执行iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

A上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

B上设置网关为192.168.100.1

先做快照，克隆一个虚拟机

添加一块网卡

nat lan 区段自定义名字

第一台机器第二个机器添加一块网卡

已经有ip了启动时连接去掉同一个区段同一块网卡

第一块给37网卡添加ip

命令行添加ip ifconfig ens37 192.168.100.1/24 想要永久生效，要编辑配置文件

一个内网一个外网

ifdown ens33

ifconfig ens37 192.168.100.100/24

先ping 自己，说明自己连接成功

打开端口转发

设置网关

能ping 通DNS 119.29.29.29，就能ping外网

端口映射

从哪里来的