美文网首页Securitylinux相关
Iptables-2·配置FORWARD链

Iptables-2·配置FORWARD链

作者: 技术老男孩 | 来源:发表于2022-12-16 08:31 被阅读0次

一、环境准备:

拓扑图.png
  • 为node1的eth1配置ip地址
[root@node1 ~]# nmcli connection modify eth1 ipv4.method manual ipv4.addresses 192.168.99.11/24
[root@node1 ~]# nmcli connection down eth1
[root@node1 ~]# nmcli connection up eth1
  • 配置server1
[root@localhost ~]# hostnamectl set-hostname server1
[root@localhost ~]# nmcli connection modify eth1 ipv4.method manual ipv4.addresses 192.168.99.100/24
[root@localhost ~]# nmcli connection down eth1
[root@localhost ~]# nmcli connection up eth1
[root@localhost ~]# echo a | passwd --stdin root
  • 为192.168.88.10和192.168.99.100配置网关
[root@client1 ~]# nmcli connection modify eth0 ipv4.gateway 192.168.88.11
[root@client1 ~]# ifdown eth0; ifup eth0

[root@server1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.99.11
[root@server1 ~]# ifdown eth1; ifup eth1
  • 在中间节点node1上打开路由转发功能
[root@node1 ~]# sysctl -a | grep ip_forward
[root@node1 ~]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf 
[root@node1 ~]# sysctl -p
  • 相互通信验证配置结果
# client和server已经可以通信
[root@client1 ~]# ping -c2 192.168.99.100
在server1上安装httpd服务
[root@server1 ~]# yum install -y httpd
[root@server1 ~]# systemctl start httpd

# 在客户端访问web服务,可以访问
[root@client1 ~]# curl http://192.168.99.100/

二、配置FORWARD链示例

需求:

在node1上配置防火墙,保护server1默认拒绝所有数据包通过

需求要点:

  1. 从server1所在网段发往client1所在网段的包全部允许
  2. 从client1所在网段到server1所在网段
  3. 允许icmp,允许22、80、443端口通过

实现步骤:

  • 从server1所在网段发往client1所在网段的包全部允许
# 设置远程控制点允许通过
[root@node1 ~]# iptables -A INPUT -s 192.168.88.254 -j ACCEPT

# 默认拒绝所有数据包通过
[root@node1 ~]# iptables -P FORWARD DROP
  • 从client1所在网段到server1所在网段
# 源地址是192.168.99.0/24,目标地址是192.168.88.0/24的包,放行
[root@node1 ~]# iptables -A FORWARD -s 192.168.99.0/24 -d 192.168.88.0/24 -j ACCEPT
  • 允许icmp,允许22、80、443端口通过
# 从client1到server1,允许icmp
[root@node1 ~]# iptables -A FORWARD -s 192.168.88.0/24 -d 192.168.99.0/24 -p icmp -j ACCEPT

# client1和server1已经可以ping通了
[root@client1 ~]# ping -c2 192.168.99.100

# 允许从client1访问server1的22、80、443,100-120端口范围
  • 允许icmp,允许22、80、443端口通过(写法二)
# -m是引入扩展模块,multiport多端口
[root@node1 ~]# iptables -A FORWARD -p tcp -m multiport 
--dport 22,80,443,100:120 -s 192.168.88.0/24 -j ACCEPT
  • 验证结果
# 现在从client1到server1的ssh、http都可以放行了
[root@client1 ~]# ssh 192.168.99.100
[root@client1 ~]# curl http://192.168.99.100/

三、补充:

  • -m iprange,可以配置范围ip地址的规则
# 拒绝192.168.88.10-192.168.88.20
访问192.168.99.50-192.168.99.150
# -m是引入扩展模块
# src-range是源地址范围
# dst-range目标地址范围
[root@node1 ~]# iptables -I FORWARD -m iprange 
--src-range 192.168.88.10-192.168.88.20
--dst-range 192.168.99.50-192.168.99.150 
-j REJECT

相关文章

  • Iptables-2·配置FORWARD链

    一、环境准备: 为node1的eth1配置ip地址 配置server1 为192.168.88.10和192.16...

  • iptables简单笔记

    查看规则 #查看filter表forward链的信息 iptables -t filter -nL FORWARD...

  • Mac 使用 Privoxy转发 Socks5代理

    1. 安装 2. 修改配置文件 /usr/local/etc/privoxy/config forward-soc...

  • thinkphp6的另反序列化分析

    Forward 之前分析过tp6的一个链;当时是利用__toString方法去进行的中转,从而实现前后两个链的链接...

  • 锐捷实战系列(五十四) VRF中的OSPF

    实训目的 掌握使用VRF中的OSPF配置的方法。 实训背景 VRF(Virtual Routing Forward...

  • logstash-forward

    负责收集本地日志,传送给远程的logstash,新建一个forward.conf文件 在logstash中的配置文...

  • kubernetes 网关 Ambassador 笔记

    kubernetes配置外网访问是个麻烦事 kubectl port-forward临时性的转发,退出就失效如果后...

  • Git的简单使用

    新建仓库 或者导入远程仓库 配置仓库 常规命令 回退版本 标签管理 合并代码 fast-forward方式是当条件...

  • FORWARD OR NOT

    那晚的舌吻,给她留下了那么浓的回忆,那种不一样的,特殊的感觉,直抵心扉。舌尖很有力道的在纠缠,她完全处于被动,他吻...

  • 轻松说英语090

    looking forward to + N/Ving 企盼I'm looking forward to summ...

网友评论

    本文标题:Iptables-2·配置FORWARD链

    本文链接:https://www.haomeiwen.com/subject/afbmfdtx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    Security

    linux相关

    关于我们|服务条款|联系我们|Iptables-2·配置FORWARD链|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!