目录
Linux防火墙的主要功能包括:
包过滤:防火墙可以检查传入和传出的网络数据包,并根据预定义的规则和策略来决定是否允许通过或阻止。
网络地址转换(NAT):防火墙可以实现网络地址转换,将私有IP地址转换为公共IP地址,以实现多个内部设备共享一个公共IP地址的功能。
端口转发:防火墙可以设置端口转发规则,将指定端口的流量从一个网络地址转发到另一个网络地址上的指定端口。
连接跟踪:防火墙可以跟踪网络连接的状态,对于已建立的连接,允许相关的回应流量通过防火墙。
日志记录:防火墙可以记录被阻止或允许通过的网络流量,并生成日志文件以供后续审计和故障排查。
在Linux中,有多个防火墙实现工具可供选择,包括iptables、nftables和Firewalld等。这些工具提供了丰富的配置选项和命令,可用于设置和管理防火墙规则,以满足特定的网络安全需求。
一、防火墙的作用
在计算机领域,防火墙是用于保护信息安全的设备,其会依照用户定义的规则,允许或限制数据的传输。
用于保护内网安全的一种设备依据规则进行防护
用户定义规则
允许或拒绝外部用户访问
二、防火墙的分类
1、逻辑上划分
防火墙可以大体分为主机防火墙和网络防火墙主机防火墙:针对于单个主机进行防护
网络防火墙:针对网络进行防护,处于网络边缘,防火墙背后是本地局域网网络防火墙主外(服务集体),主机防火墙主内(服务个人)
2、物理上划分
防火墙可分为硬件防火墙和软件防火墙
硬件防火墙:在硬件级别实现防火墙功能,另一部分基于软件实现,其性能高,硬件成本高
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,其性能相较于硬件防火墙低,成本较低,对于Linux系统已自带,直接使用即可
3、防火墙性能
吞吐量
并发连接
新建连接
时延
抖动
4、硬件防火墙
硬件防火墙定义
硬件防火墙是指把具备配置数据包通过规则的软件嵌入硬件设备中,为网络提供安全防护的硬件设备。多见于网络边缘。
硬件防火墙作用(拓扑图 ups)
5、硬件防火墙品牌
Juniper
cisco 思科ASA
华为
天融信
6、软件防火墙
软件防火墙是单独使用具备配置数据包通过规则的软件来实现数据包过滤。多见于单主机系统或个人计算机
扩展:Web应用防火墙(WAF)
Web应用防火墙是对web防护(网页保护)的安全防护设备(软件),主要用于截获所有HTTP数据或仅仅满足某些规则的会话。多见于云平台中。
7、硬件防火墙与软件防火墙比较
硬件防火墙有独立的硬件设备,运算效率较高,价格略高,可为计算机网络提供安全防护。
软件防火墙必须部署在主机系统之上,相较于硬件防火墙运算效率低,在一定程度上会影响到主机系统性能,一般用 于单机系统或个人计算机中,不直接用于计算机网络中。
三、iptables
1、iptables是什么?
iptables不是防火墙,是防火墙用户代理
用于把用户的安全设置添加到“安全框架”中
“安全框架”是防火墙
“安全框架”的名称为netfilter
netfilter位于内核空间中,是Linux操作系统核心层内部的一个数据包处理模块
iptables是用于在用户空间对内核空间的netfilter进行操作的命令行工具
2、netfilter/iptables功能
netfilter/iptables可简称为iptables,为Linux平台下的包过滤防火墙,是开源的,内核自带的,可以代替成本较高的 企业级硬件防火墙,能够实现如下功能
数据包过滤,即防火墙
数据包重定向,即转发
网络地址转换,即可NAT
注:平常我们使用iptables并不是防火墙的“服务”,而服务是由内核提供的。
3、iptables概念
iptables工作依据规则(rules)
iptables是按照规则(rules)来办事的,而规则就是运维人员所定义的条件;规则一般定义为“如果数据包头符合这样的 条件,就这样处理这个数据包”。
规则存储在内核空间的数据包过滤表中,这些规则分别指定了源地址、目的地址,传输协议(TCP、UDP、ICMP)和服 务类型(HTTP、FTP)等。
当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,比如放行(ACCEPT)、拒绝(REJECT)、 丢弃(DROP)等
4、iptables中链的概念
举例说明:
当客户端访问服务器端的web服务时,客户端发送访问请求报文至网卡,而tcp/ip协议栈是属于内核的一部分,所 以,客户端的请求报文会通过内核的TCP协议传输到用户空间的web服务,而客户端报文的目标地址为web服务器所 监听的套接字(ip:port)上,当web服务器响应客户端请求时,web服务所回应的响应报文的目标地址为客户端地址, 我们说过,netfilter才是真正的防火墙,属于内核的一部分,所以,我们要想让netfilter起到作用,我们就需要在内 核中设置“关口”,所以进出的数据报文都要通过这些关口,经检查,符合放行条件的准允放行,符合阻拦条件的则被 阻止,于是就出现了input和output关口,然而在iptables中我们把关口叫做“链”。
上面的举例中,如果客户端发到本机的报文中包含的服务器地址并不是本机,而是其他服务器,此时本机就应该能够 进行转发,那么这个转发就是本机内核所支持的IP_FORWARD功能,此时我们的主机类似于路由器功能,所以我们会 看到在iptables中,所谓的关口并只有上面所提到的input及output这两个,应该还有“路由前”,“转发”,“路由后”, 它们所对应的英文名称分别为“PREROUTING”,“FORWARD”,“POSTROUTING”,这就是我们说到的5链。
通过上图可以看出,当我们在本地启动了防火墙功能时,数据报文需要经过以上关口,根据各报文情况,各报名经常 的“链”可能不同,如果报文目标地址是本机,则会经常input链发往本机用户空间,如果报文目标不是本机,则会直接 在内核空间中经常forward链和postrouting链转发出去。
有的时候我们也经常听到人们在称呼input为“规则链”,这又是怎么回事呢?我们知道,防火墙的作用在于对经过的数 据报文进行规则匹配,然后执行对应的“动作”,所以数据包经过这些关口时,必须匹配这个关口规则,但是关口规则 可能不止一条,可能会有很多,当我们把众多规则放在一个关口上时,所有的数据包经常都要进行匹配,那么就形成 了一个要匹配的规则链条,因此我们也把“链”称作“规则链”。
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包(主要是将数据包转发至本机其它网卡)
当数据报文经过本机时,网卡接收数据报文至缓冲区,内核读取报文ip首部,发现报文不是送到本机时(目的ip 不是本机),由内核直接送到forward链做匹配,匹配之后若符合forward的规则,再经由postrouting送往下一 跳或目的主机。
PREROUTING:在进行路由选择前处理数据包,修改到达防火墙数据包的目的IP地址,用于判断目标主机
POSTROUTING:在进行路由选择后处理数据包,修改要离开防火墙数据包的源IP地址,判断经由哪一接口送往 下一跳
5、iptables中表的概念
每个“规则链”上都设置了一串规则,这样的话,我们就可以把不同的“规则链”组合成能够完成某一特定功能集合分 类,而这个集合分类我们就称为表,iptables中共有5张表,学习iptables需要搞明白每种表的作用。
filter: 过滤功能,确定是否放行该数据包,属于真正防火墙,内核模块:iptables_filter
nat: 网络地址转换功能,修改数据包中的源、目标IP地址或端口;内核模块:iptable_nat
mangle: 对数据包进行重新封装功能,为数据包设置标记;内核模块:iptable_mangle
raw: 确定是否对数据包进行跟踪;内核模块:iptables_raw
security:是否定义强制访问控制规则;后加上的
6、iptables中表链之间的关系
我们在应用防火墙时是以表为操作入口的,只要在相应的表中的规则链上添加规则即可实现某一功能。那么我们就应 该知道哪张表包括哪些规则链,然后在规则链上操作即可。
filter表可以使用哪些链定义规则:INPUT,FORWARD,OUTPUT
nat表中可以使用哪些链定义规则:PREROUTING,OUTPUT ,POSTROUTING,INPUT
mangle 表中可以使用哪些链定义规:
PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
raw表中可以使用哪些链定义规则:PREROUTING,OUTPUT
7、iptables中表的优先级
raw-mangle-nat-filter(由高至低)
8、iptables规则匹配条件分类
iptables命令具有许多选项,以下是常用的一些选项:
- `-A`:在规则链的末尾添加一条规则。
- `-D`:从规则链中删除一条规则。
- `-I`:在规则链的开头插入一条规则。
- `-P`:设置规则链的默认策略。
- `-F`:清除规则链中的所有规则。
- `-L`:列出规则链中的所有规则。
- `-N`:创建一个自定义的规则链。
- `-E`:重命名规则链。
- `-X`:删除一个自定义的规则链。
- `-P`:设置规则链的默认策略。
- `-s`:指定源IP地址或地址范围。
- `-d`:指定目标IP地址或地址范围。
- `-p`:指定匹配的协议。
- `-j`:指定动作,如ACCEPT(接受)、DROP(丢弃)、REJECT(拒绝)等。
- `-i`:指定输入接口。
- `-o`:指定输出接口。
- `-m`:指定使用的模块。
这只是一部分常用的选项,还有其他更高级的选项用于更复杂的规则配置。您可以使用`iptables --help`命令查看完整的选项列表和用法说明。
我们来开始配置一下我们的主机一共是两台一个是
192.168.28.3
192.168.28.4
开启防火墙
systemctl status firewalld systemctl restart firewalld iptables -nL 查看防火墙规则 iptables -F 清空防火墙规则 #配置默认链策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP
测试一下ping和ssh协议
ping 192.168.28.3 ssh 192.168.28.3
基本匹配条件:
源地址,目标地址,源端口,目标端口等
基本匹配使用选项及功能
第一步让我的masterping不通slave
[root@slave1 ~]# iptables -t filter -A INPUT -p icmp -j REJECT [root@hd1 roles]# ping 192.168.28.4
- -pprotocal指定规则协议,tcp(传输层)udp(传输层)icmp(网络层)ip(网络层) 直接断开
每次命令完事刷新一下
iptables -F
ping的通但是ssh不通
上主机上输入清空iptables -F
- -ssource 指定数据包的源地址,192.168.28.3
iptables -t filter -A INPUT -s 192.168.28.3 -j REJECT
iptables -t filter -A INPUT -p icmp -j REJECT
回主机尝试ping和ssh都不通
回slave机器上安装httpd
- -ddestination指定目的地址
- -i输入网卡接口 如:lo本地回环,ens33
iptables -A INPUT -i ens33 -j DROP
- -o输出网卡接口 如:ens37,ens33等
- ! 取 反
iptables -A INPUT ! -p icmp -i ens33 -j DROP
表示除了icmp的协议可以通信,其他协议如果通过ens33接口进入防火墙都是拒绝
结合一起使用
iptables -A INPUT -p icmp -i ens33 -j DROP
通过ens33接口进入的icmp协议是禁止的,其他默认是允许的
ssh可以成功
ping的话不回应包给扔了
基本匹配的特点是:无需加载扩展模块,匹配规则生效
扩展匹配条件:
扩展匹配又分为显示匹配和隐式匹配。
扩展匹配的特点是:需要加载扩展模块,匹配规则方可生效。
隐式匹配的特点:使用-p选项指明协议时,无需再同时使用-m选项指明扩展模块以及不需要手动加载扩展模块; 显示匹配的特点:必须使用-m选项指明要调用的扩展模块的扩展机制以及需要手动加载扩展模块。
隐式匹配选项及功能
先测试一下master连通性
curl 192.168.28.4 ssh 192.168.28.4
- -ptcp
- --sport匹配报文源端口;可以给出多个端口,但只能是连续的端口范围
- --dport匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围
- -pudp
- --sport匹配报文源端口;可以给出多个端口,但只能是连续的端口范围
- --dport匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围
- --icmp-type
- 0/0: echoreply允许其他主机ping
- 8/0:echorequest允许ping其他主机
iptables -A INPUT -p tcp --dport 80 -j REJECT 禁止访问防火墙80端口,其余都可以访问
不允许其他主机ping通防火墙,但是允许防火墙ping别人 前提双方都能ping通 iptables -F 刷新防火墙 ping 192.168.28.3 ping 192.168.28.4 你ping我不通但是我ping你通 iptables -A INPUT -p icmp --icmp-type 8/0 -j REJECT
显式匹配使用选项及功能
multiport
多端口
一个规则同时拒绝多个端口,指定模块 iptables -A INPUT -p tcp -m multiport --dport 80,22 -j REJECT
iprange
多ip地址
23号端口需要下载
yum -y install telnet-server systemctl restart telnet.socket netstat -anptu |grep :23
slave创建用户
useradd ls passwd 123 yum -y install telnet-server 回slave下载 yum -y install telnet telnet 192.168.28.4 ls 123
iptables -A INPUT -p tcp --dport 23 -m iprange --src-range 192.168.28.1-192.168.28.10 -j REJECT
-A表示追加规则 append
-Ii表示插入规则,成为第一个规则 insert
把master的IP改大于10就能访问了
iptables -A OUTPUT -p tcp --dport 23 -m iprange --src-range 192.168.28.1-192.168.28.10 -j REJECT
这个就是在这个IP之内的地址就能访问
time
指定访问时间范围
iptables -A INPUT -p tcp --dport 22 -m time --weekdays Mon,Tus --timestart 08:00:00 --timestop 21:02:00 -j REJECT -A INPUT: 将规则添加到INPUT链(用于处理进入防火墙的数据包)。 -p tcp: 指定数据包的协议为TCP。 --dport 22: 指定目标端口为22(SSH端口)。 -m time: 使用time模块来限制规则的时间条件。 --weekdays Mon,Tus: 规定规则只在周一和周二生效。 --timestart 08:00:00: 规定每天开始时间为08:00:00。 --timestop 21:02:00: 规定每天结束时间为21:02:00。 -j REJECT: 指定匹配的数据包将被拒绝(拒绝连接)。 该命令的作用是,在周一和周二的每天08:00:00到21:02:00之间,拒绝所有目标端口为22(SSH)的TCP连接。换句话说,这个规则限制了在规定的时间范围内,只有其他端口的连接可以通过,而SSH连接将被拒绝。 ssh 192.168.28.4
connlimit
连接限制,根据每个客户端IP作并发连接数量限制。
- --connlimit-upton连接数小于等于n时匹配
- 假设你设置了一个限制条件为"--connlimit-upto 5",这意味着只有在连接数小于等于5时,规则才会匹配。如果连接数超过5,规则将不会匹配。
- --connlimit-aboven连接数大于n时匹配
- 如果你设置了"--connlimit-above 100"的限制条件,那么只有当连接数超过100时,规则才会匹配。如果连接数小于等于100,规则将不会匹配。
state
追踪本机上的请求和响应之间的数据报文的状态。状态有五种:INVALID, ESTABLISHED, NEW, RELATED, UNTRACKED.
- --statestate
- NEW新连接请求
- ESTABLISHED 已建立的连接
- INVALID无法识别的连接
- RELATED相关联的连接,当前连接是一个新请求,但
- UNTRACKED未追踪的连接
iptables规则中动作
iptables规则中的动作常称为target,也分为基本动作和扩展动作。
ACCEPT:允许数据包通过
DROP:直接丢弃数据包,不给任何回应信息REJECT:拒绝数据包通过,发送回应信息给客户端
SNAT:源地址转换
解释1:数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,接收方认为数据包的来
源是被替换的那个IP主机,返回响应时,也以被替换的IP地址进行。
解释2:修改数据包源地址,当内网数据包到达防火墙后,防火墙会使用外部地址替换掉数据包的源IP地址
(目的IP地址不变),使网络内部主机能够与网络外部主机通信。
iptables-tnat-APOSTROUTING-s192.168.10.0/24-oeth1-jSNAT--to-source 202.12.10.100
MASQUERADE:伪装,类似于SNAT,适用于动态的、临时会变的ip地址上,例如:家庭使用的宽带。 用发送数据的网卡上的IP来替换源IP,对于IP地址不固定场合使用。
DNAT:目标地址转换
解释1:数据包从网卡发出时,修改数据包中的目的IP,表现为你想访问A,但因网关做了DNAT,把所有 访问A的数据包中的目的IP地址全部修改为B,实际最终访问的是B。
解释2:改变数据包目的地址,当防火墙收到来自外网的数据包后,会将该数据包的目的IP地址进行替换
(源IP地址不变),重新转发到内网的主机。
1iptables-tnat-APREROUTING-d202.12.10.100-ptcp--dport80-jDNAT--to- destination192.168.10.254
REDIRECT:在本机做端口映射
LOG:在/var/log/message文件中记录日志信息,然后将数据包传递给下一条规则。
路由是按照目的地址进行路由选择的,因此,DNAT是在PREROUTING链上进行的,SNAT是在数据包发出的时 候进行的,因此是在POSTROUTING链上进行的。
制定iptables规则策略
黑名单
没有被拒绝的流量都可以通过,这种策略下管理员必须针对每一种新出现的攻击,制定新的规则,因此不推荐
系统全是黑名单
白名单
没有被允许的流量都要拒绝,这种策略比较保守,根据需要,主机主机逐渐开放,目前一般都采用白名单策 略,推荐。
制定iptables规则思路
选择一张表,此表决定了数据报文处理的功能
选择一条链,此链决定了数据报文流经哪些位置
选择合适的规则,此条件决定了对数据做何种条件匹配
选择处理数据报文的动作 拒绝还是允许
-P:用于设置默认策略(Policy),即当没有规则与数据包匹配时需要执行的动作。常见的取值有ACCEPT(接受),DROP(丢弃)和REJECT(拒绝)等。
-A:用于向规则链(Chain)末尾添加新规则。例如,iptables -A INPUT 表示将一条规则添加到输入链的末尾。
-I:用于在指定位置插入新规则。例如,iptables -I INPUT 2 表示在输入链的第二个位置插入一条规则。
-D:用于删除规则。例如,iptables -D INPUT 3 表示删除输入链的第三条规则。
-R:用于替换指定位置的规则。例如,iptables -R INPUT 1 表示替换输入链的第一条规则。
-E:用于重命名自定义的规则链。例如,iptables -E FORWARD OLDCHAIN NEWCHAIN
-F: 用于刷新所有的链的表,默认刷新INPUT不刷新
我设置一条规则不让ping
iptables -A INPUT -p icmp -j REJECT
iptables -A INPUT -p ip -s 192.168.28.3 -j REJECT iptables -nL
然后我们删除一个规则
iptables -D INPUT 2 iptables -nL
瞎写的规则
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.10.10.10
iptables -nL
iptables -F
刷新规则不会删除snat表的记录
iptables -P OUTPUT DROP
iptables -P OUTPUT ACCEPT
iptables链管理方法(了解)
-N, --new-chain chain:新建一个自定义的规则链;
-X, --delete-chain [chain]:删除用户自定义的引用计数为0的空链;
-F, --flush [chain]:清空指定的规则链上的规则;
-E, --rename-chain old-chain new-chain:重命名链;
-Z, --zero [chain [rulenum]]:置零计数器; 注意:每个规则都有两个计数器
packets:被本规则所匹配到的所有报文的个数; bytes:被本规则所匹配到的所有报文的大小之和;
-P, --policychaintarget制定链表的策略(ACCEPT|DROP|REJECT)
iptables -vnL 可以查看详细的命令
iptables -P INPUT DROP
iptables -P INPUT ACCEPT
iptables规则管理(重点记忆)
-A, --append chain rule-specification:追加新规则于指定链的尾部;
-I, --insertchain[rulenum]rule-specification:插入新规则于指定链的指定位置,默认为首部;
-R, --replace chain rulenum rule-specification:替换指定的规则为新的规则;
-D, --delete chain rulenum:根据规则编号删除规则;
-D, --delete chain rule-specification:根据规则本身删除规则;
iptables -D INPUT -p icmp -j REJECT
删除规则,怎么添加怎么删除
iptables规则显示
-L, --list [chain]:列出规则;
-v, --verbose:详细信息;
-vv 更详细的信息
-n, --numeric:数字格式显示主机地址和端口号;
-x, --exact:显示计数器的精确值,而非圆整后的数据;
--line-numbers:列出规则时,显示其在链上的相应的编号;
-S, --list-rules [chain]:显示指定链的所有规则;
iptables -nL --line-numbers :更详细的显示编号
iptables -S
四、iptables应用
1、环 境 centos7
iptables-services安装
yum -y install iptables-services
centos7系统中默认存在iptables命令,此命令仅为简单查询及操作命令,不包含配置文件,安装iptables- services后,将直接生成配置文件,便于配置保存。包含ipv4及ipv6。
2、设置服务开启
systemctl start iptables 查看配置文件 rpm -ql iptables-services iptables -h #查看帮助信息 iptables -nL iptables -F iptables -nL
保存规则
iptables-save >/etc/sysconfig/iptables
重载
iptables-restore < /etc/sysconfig/iptables
案例:白名单
[root@localhost ~]# iptables -t filter-F
[root@localhost ~]# iptables -P INPUTDROP
[root@localhost~]#iptables-tfilter-IINPUT-ptcp--dport=22-jACCEPT
[root@localhost~]#iptables-tfilter-IINPUT-ptcp--dport=80-jACCEPT
案例:黑名单
[root@localhost ~]# iptables -P INPUTACCEPT
[root@localhost ~]# iptables-F
[root@localhost~]#iptables-tfilter-AINPUT-s192.168.2.20/24-ptcp--dport80-j DROP
案例:通过lo访问本机数据
[root@localhost~]#iptables-IINPUT-d127.0.0.1-ptcp--dport=9000-ilo-jACCEPT
[root@localhost ~]# iptables -I INPUT -i lo -jACCEPT
#允许通过本地回环网卡访问本机
本机要是添加策略了本机也访问不了。
案例:允许连接态产生衍生态
#表示允许防火墙主动访问其他主机,返回的流量 ,established表示无论是tcp还是udp还是icmp,只要是回应包,都允许放行的
iptables-IINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
我ping你通你不能ping我
主机ping不通
iptables filter表应用案例案例1:
[root@localhost ~]# yum -y install httpd vsftpd sshd |
[root@localhost ~]# systemctl start httpd vsftpd sshd |
[root@localhost ~]# iptables -t filter -F |
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -jACCEPT |
[root@localhost ~]# iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT |
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -jACCEPT |
[root@localhost ~]# iptables -A INPUT -j REJECT |
#在存问题 |
本机无法访问本机 |
例如:ping 127.0.0.1 |
解决方法 |
[root@localhost ~]# iptables -I INPUT-ilo-jACCEPT |
本机无法访问其它主机 |
例如:ssh remote_host |
解决方法 |
[root@localhost~]#iptables-IINPUT-mstate--stateESTABLISHED,RELATED |
FTP无法访问 |
解决方法1: |
[root@localhost ~]# iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT |
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf |
pasv_min_port=50000 |
pasv_max_port=60000 |
[root@localhost~]#iptables-IINPUT-ptcp--dport50000:60000-jACCEPT |
3、实验
一和三都安装httpd并且启动
第一步配置命令(192.168.28.11)
cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.28.11
PREFIX=24
GATEWAY=192.168.28.12
第二步 firewall主机(192.168.1.12)配置
cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.28.12
PREFIX=24
cat /etc/sysconfig/network-scripts/ifcfg-ens37
TYPE=Ethernet
BOOTPROTO=static
NAME=ens37
DEVICE=ens37
ONBOOT=yes
IPADDR=192.168.3.12
PREFIX=24
开启 firewall防火墙的路由转发功能
#开启路由转发功能
[root@slave1 network-scripts]# cat /etc/sysctl.conf
# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).
net.ipv4.ip_forward = 1
[root@slave1 network-scripts]# sysctl -p
net.ipv4.ip_forward = 1
[root@slave1 network-scripts]#
配置防火墙的snat地址转换
iptables -t nat -A POSTROUTING -s 192.168.28.0/24 -o ens37 -j SNAT --to-source 192.168.3.12
在192.168.3.13,请先安装httpd服务,便于验证结果
cat /etc/sysconfig/network-scripts/ifcfg-ens33
OTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.3.13
PREFIX=24
192.168.1.11主机结果验证
curl 192.168.3.13
在防火墙上配置dnat(建议:内网主机能访问外部主机即先做dnat)
iptables -t nat -A PREROUTING -d 192.168.3.12 -p tcp -j DNAT --to-destination 192.168.28.11
curl 192.168.3.12