七周四次课(3月22日) 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用
扩展
- iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
- sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
- iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html
小案例需求,80、22、21端口放行,22端口指定i拍ip段放行。
定义一个变量。不会那么繁琐。
放行了133.0网段所以这个服务端没有问题。
icmp示例
ping其他机通。
ping 本机不通。
删掉规则
脚本禁掉了ICMP,需要恢复默认状态。
ping通了
加上规则
不通
可以ping外网,别人ping不通你。
10.16iptables nat
准备两台机器。如果,担心实验一次做不好,可以做快照。
给aminglinux1添加1块网卡。
网卡连到了内网交换机上,也就是真机,是连不上的,这台机器和另外一台机器连到同一个内网的交换机,它们能够通信就可以。
添加区段,自定义个名字。
第二个机器,也要添加一块网卡。
禁掉链接。
添加一块网卡
自定义区段
启动机器两台机器。第1台机器有两块网卡,第二台机器,没有window机器可以链接的ip。没有办法远程连接。
设置网卡IP,和设置虚拟网卡IP一样,复制一份配置文件,修改数据,不用设置网关,DNS。另外一中方法,手动命令行,设置IP。重启会失效,如果想永久生效,要更改配置文件。拷贝ens33配置文件,更改数据。
另外一台机器,ens33网卡已经断掉。
为了保险,运行如下命令。
ping不通
检查机器1,
点击LAN区段“高级”
查看第二个机器。点击LAN区段(s)
ping 自己通
检查第一台。
ip没有了。
发现ip没有了
10.17 iptables nat表应用
windows ping 不通192.168.100.1和192.168.100.100
查看网关,运行如下命令。
没有网关
设置网关,运行如下命令。
可以ping通
设置DNS。119.29.29.29是公共DNS。
能ping通DNS,就能ping通外网。
只有1个ip
不能ping通。
A机器相当于路由器,B机器相当于连路由器的手机,电脑,现在可以联网了。
10.18 iptables nat表应用
windows不能ping通192.168.100.100
每次操作需要到虚拟机里面操作,想远程登录它。
可以连A机器,从机器A跳转到机器B,这叫做端口映射,通过A机器的端口22映射出来,已经有了1个端口22,要映射成1122。
步骤如下:
1、打开路由转发。
刚刚已经做过,省略。
2、先把之前的规则删掉,以免影响到操作。
查看规则表,么有任何规则。
3、增加两条规则
1)把windows进来的包,发到192.168.133.130,端口是1122,转发到192.168.100.100:22,
2)包的源ip,让windows知道它从哪里过来。
3)加上网关。刚刚已经操作过。
验证一下。
新建一个会话,输入主机和端口号。
连接
