国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<thead id="vsxiv"></thead>

iptables 防火墻(二)

2年前作者：IT_社恐劉某分類(lèi)：Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了iptables 防火墻(二)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

目錄

1. SNAT 策略及應(yīng)用

1.1 SNAT策略概述

?1. 只開(kāi)啟路由轉(zhuǎn)發(fā)，未設(shè)置地址轉(zhuǎn)換的情況

2. 開(kāi)啟路由轉(zhuǎn)發(fā)，并設(shè)置SNAT轉(zhuǎn)換的情況

1.2 SNAT策略的應(yīng)用

1. 2.1 共享固定IP上網(wǎng)

（1）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

（2）設(shè)置正確的SNAT策略

（3）測(cè)試SNAT共享接入結(jié)果

1.2.2 共享動(dòng)態(tài)IP 地址上網(wǎng)

2. DNAT策略及應(yīng)用

2.1 DNAT 策略概述

2.2 DNAT策略的應(yīng)用

2.2.1? 發(fā)布企業(yè)內(nèi)部的Web服務(wù)器

（1）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

（3）測(cè)試DNAT發(fā)布結(jié)果

2.2.2 發(fā)布企業(yè)內(nèi)部的 OpenSSH服務(wù)器

（1）配置OpenSSH服務(wù)

? （2）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

? （3）?正確設(shè)置DNAT策略

（4）測(cè)試DNAT發(fā)布結(jié)果

3. 規(guī)則的導(dǎo)入、導(dǎo)出

3.1 規(guī)則的備份及還原

3.1.1 iptables-save 命令

3.1.2? iptables-restore 命令

3.2 使用iptables服務(wù)

3.2.1 自動(dòng)啟用防火墻規(guī)則

3.2.2 清空所有防火墻規(guī)則

4. 使用防火墻腳本

4.1 防火墻腳本的構(gòu)成

4.1.1 定義基本變量

4.1.2 加載內(nèi)核模塊

4.1.3 調(diào)整/proc 參數(shù)

4.1.4 設(shè)置具體的iptables規(guī)則

（1）清理已有規(guī)則

（2）設(shè)置規(guī)則鏈的默認(rèn)策略

（3）設(shè)置nat表中的各種規(guī)則

（4）設(shè)置filter表的各種規(guī)則

1. SNAT 策略及應(yīng)用

Linux 防火墻在很多時(shí)候承擔(dān)著連接企業(yè)內(nèi)、外網(wǎng)的重任，除了提供數(shù)據(jù)包過(guò)濾功能以外，還提供一些基本的網(wǎng)關(guān)應(yīng)用。本章將學(xué)習(xí) Linux 防火墻的 SNAT 和 DNAT 策略，分別掌握兩個(gè)典型的應(yīng)用：局域網(wǎng)共享一個(gè)公網(wǎng) IP 地址接入 Internet ；向 Internet 發(fā)布位于內(nèi)網(wǎng)的應(yīng)用服務(wù)器。

SNAT （ Source Network Address Translation ，源地址轉(zhuǎn)換）是 Linux 防火墻的一種地址轉(zhuǎn)換操作，也是 iptables 命令中的一種數(shù)據(jù)包控制類(lèi)型，其作用是根據(jù)指定條件修改數(shù)據(jù)包的源 IP 地址。

1.1 SNAT策略概述

隨著 Internet 網(wǎng)絡(luò)在全世界范圍內(nèi)的快速發(fā)展， IPv4 協(xié)議支持的可用 IP 地址資源逐漸變少，資源匱乏使得許多企業(yè)難以申請(qǐng)更多的公網(wǎng) IP 地址，或者只能承受一個(gè)或者少數(shù)幾個(gè)公網(wǎng) IP 地址的費(fèi)用。而與此同時(shí)，大部分企業(yè)面臨著將局域網(wǎng)內(nèi)的主機(jī)接入 Internet 的需求。

通過(guò)在網(wǎng)關(guān)中應(yīng)用 SNAT 策略，可以解決局域網(wǎng)共享上網(wǎng)的問(wèn)題。下面以一個(gè)小型的企業(yè)網(wǎng)絡(luò)為例。 Linux 網(wǎng)關(guān)服務(wù)器通過(guò)兩塊網(wǎng)卡 ens33 、 ens37 分別連接 Internet 和局域網(wǎng)，如圖 3.1 所示，分析局域網(wǎng)主機(jī)訪(fǎng)問(wèn) Internet 的情況。

iptables 防火墻(二),服務(wù)器,linux,網(wǎng)絡(luò)

?1. 只開(kāi)啟路由轉(zhuǎn)發(fā)，未設(shè)置地址轉(zhuǎn)換的情況

正常情況下，作為網(wǎng)關(guān)的 Linux 服務(wù)器必須打開(kāi)路由轉(zhuǎn)發(fā)，才能溝通多個(gè)網(wǎng)絡(luò)。未使用地址轉(zhuǎn)換策略時(shí)，從局域網(wǎng) PC （如 192.168.1.234 ）訪(fǎng)問(wèn) Internet 的數(shù)據(jù)包經(jīng)過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)后其源 IP 地址保持不變，當(dāng) Internet 中的主機(jī)收到這樣的請(qǐng)求數(shù)據(jù)包后，響應(yīng)數(shù)據(jù)包將無(wú)法正確返回（私有地址不能在 Internet 中正常路由），從而導(dǎo)致訪(fǎng)問(wèn)失敗，如圖 3.2 所示。

iptables 防火墻(二),服務(wù)器,linux,網(wǎng)絡(luò)

2. 開(kāi)啟路由轉(zhuǎn)發(fā)，并設(shè)置SNAT轉(zhuǎn)換的情況

如果在網(wǎng)關(guān)服務(wù)器中正確應(yīng)用 SNAT 策略，數(shù)據(jù)包轉(zhuǎn)發(fā)情況就不一樣了。當(dāng)局域網(wǎng) PC訪(fǎng)問(wèn) Internet 的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)服務(wù)器時(shí)，會(huì)先進(jìn)行路由選擇，若發(fā)現(xiàn)該數(shù)據(jù)包需要從外網(wǎng)接口（如 ens33 ）向外轉(zhuǎn)發(fā)，則將其源 IP 地址（如 192.168.1.234）修改為網(wǎng)關(guān)的外網(wǎng)接口地址（如 218.29.30.31 ），然后才發(fā)送給目標(biāo)主機(jī)（如 58.63.236.45）。相當(dāng)于從網(wǎng)關(guān)服務(wù)器的公網(wǎng) IP 地址提交數(shù)據(jù)訪(fǎng)問(wèn)請(qǐng)求，目標(biāo)主機(jī)也可以正確返回響應(yīng)數(shù)據(jù)包，如圖 3.3 所示。最終實(shí)現(xiàn)局域網(wǎng) PC 共享同一個(gè)公網(wǎng) IP 地址接入 Internet 。

iptables 防火墻(二),服務(wù)器,linux,網(wǎng)絡(luò)

在上述 SNAT 轉(zhuǎn)換地址的過(guò)程中，網(wǎng)關(guān)服務(wù)器會(huì)根據(jù)之前建立的 SNAT 映射，將響應(yīng)數(shù)據(jù)包正確返回局域網(wǎng)中的源主機(jī)。因此，只要連接的第一個(gè)包被 SNAT 處理了，那么這個(gè)連接及對(duì)應(yīng)數(shù)據(jù)流的其他包也會(huì)自動(dòng)地被進(jìn)行 SNAT 處理。另一方面，Internet 中的服務(wù)器并不知道局域網(wǎng) PC 的實(shí)際 IP 地址，中間的轉(zhuǎn)換完全由網(wǎng)關(guān)主機(jī)完成，一定程度上也起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。????

1.2 SNAT策略的應(yīng)用

SNAT 的典型應(yīng)用是為局域網(wǎng)共享上網(wǎng)提供接入策略，處理數(shù)據(jù)包的切入時(shí)機(jī)是在路由選擇之后（ POSTROUTING）進(jìn)行。關(guān)鍵操作是將局域網(wǎng)外發(fā)數(shù)據(jù)包的源 IP 地址（私有地址）修改為網(wǎng)關(guān)服務(wù)器的外網(wǎng)接口 IP 地址（公有地址）。

SNAT 策略只能用在 nat 表的 POSTROUTING 鏈，使用 iptables 命令編寫(xiě) SNAT 策略時(shí)，需要結(jié)合 “--to-source IP 地址 ” 選項(xiàng)來(lái)指定修改后的源 IP 地址（如-j SNAT --to-source 218.29.30.31 ）。下面通過(guò)兩個(gè)實(shí)例來(lái)說(shuō)明 SNAT 策略的具體用法。

1. 2.1 共享固定IP上網(wǎng)

案例環(huán)境如圖 3.1 所示，需求描述如下。

Linux 網(wǎng)關(guān)服務(wù)器通過(guò)兩塊網(wǎng)卡 ens33、ens37 分別連接 Internet 和局域網(wǎng)，其中 ens33的 IP 地址為 218.29.30.31，ens37 的 IP 地址為 192.168.1.1。
所有局域網(wǎng) PC 的默認(rèn)網(wǎng)關(guān)設(shè)為 192.168.1.1，且已經(jīng)設(shè)置了正確的 DNS 服務(wù)器。
要求 192.168.1.0/24 網(wǎng)段的 PC 能夠通過(guò)共享方式正常訪(fǎng)問(wèn) Internet。

根據(jù)上述環(huán)境，推薦的操作步驟如下。

（1）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

對(duì)于 Linux 服務(wù)器， IP 轉(zhuǎn)發(fā)是實(shí)現(xiàn)路由功能的關(guān)鍵所在，對(duì)應(yīng)為 /proc 文件系統(tǒng)中的ip_forward 設(shè)置，當(dāng)值為 1 時(shí)表示開(kāi)啟，為 0 時(shí)表示關(guān)閉。若要使用 Linux 主機(jī)作為網(wǎng)關(guān)設(shè)備，必然需要開(kāi)啟路由轉(zhuǎn)發(fā)。例如，可以修改 sysctl.conf 配置文件，永久打開(kāi)路由轉(zhuǎn)發(fā)功能。

[root@node1 ~]# cat /etc/sysctl.conf 
...... ## 省略
net.ipv4.ip_forward = 1
[root@node1 ~]# sysctl -p
net.ipv4.ip_forward = 1
[root@node1 ~]#

在測(cè)試過(guò)程中，若只希望臨時(shí)開(kāi)啟路由轉(zhuǎn)發(fā)，也可以執(zhí)行以下操作。

[root@node1 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

或者

[root@node1 ~]# sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
[root@node1 ~]#

（2）設(shè)置正確的SNAT策略

通過(guò)分析得知，需要針對(duì)局域網(wǎng) PC 訪(fǎng)問(wèn) Internet 的數(shù)據(jù)包采取 SNAT 策略，將源地址更改為網(wǎng)關(guān)的公網(wǎng) IP 地址，參考以下操作在網(wǎng)關(guān)中設(shè)置防火墻規(guī)則。若要保持 SNAT 策略長(zhǎng)期有效，應(yīng)將相關(guān)命令寫(xiě)入到 rc.local 配置文件，以便開(kāi)機(jī)后自動(dòng)設(shè)置。

[root@node1 ~]# iptables -t nat -A POSTROUTING -s 192.168.136.131/24 -o ens33 -j SNAT --to-source 218.39.30.31
[root@node1 ~]#

（3）測(cè)試SNAT共享接入結(jié)果

上述操作完成以后，使用局域網(wǎng)中的 PC 就可以正常訪(fǎng)問(wèn) Internet 中的網(wǎng)站了。對(duì)于被訪(fǎng)問(wèn)的網(wǎng)站服務(wù)器來(lái)說(shuō)，將會(huì)認(rèn)為是網(wǎng)關(guān)主機(jī) 218.29.30.31 在訪(fǎng)問(wèn)（可觀察 Web 日志獲知），而并不知道實(shí)際上是企業(yè)內(nèi)網(wǎng)的 PC 192.168.1.234 在訪(fǎng)問(wèn)。

1.2.2 共享動(dòng)態(tài)IP 地址上網(wǎng)

在某些情況下，網(wǎng)關(guān)的外網(wǎng) IP 地址可能并不是固定的，如使用 ADSL 寬帶接入時(shí)。那么在這種網(wǎng)絡(luò)環(huán)境下，應(yīng)該如何設(shè)置 SNAT 策略呢？針對(duì)這種需求， iptables 命令提供了一個(gè)名為 MASQUERADE （偽裝）的數(shù)據(jù)包控制類(lèi)型， MASQUERADE 相當(dāng)于 SNAT 的一個(gè)特例，同樣用來(lái)修改（偽裝）數(shù)據(jù)包源 IP 地址，只不過(guò)它能夠自動(dòng)獲取外網(wǎng)接口的 IP 地址，而無(wú)須使用 “--to-source” 指定固定的 IP 地址。

參照上一個(gè) SNAT 案例，若要使用 MASQUERADE 偽裝策略，只需去掉 SNAT 策略中的 “--to-source IP 地址 ” ，然后改用 “-j MASQUERADE” 指定數(shù)據(jù)包控制類(lèi)型。對(duì)于 ADSL 寬帶連接，連接名稱(chēng)通常為 ppp0 、 ppp1 等。

[root@node1 ~]# iptables -t nat -A POSTROUTING -s 192.168.136.131/24 -o ppp0 -j MASQUERADE
[root@node1 ~]#

當(dāng)然，如果網(wǎng)關(guān)使用固定的公網(wǎng) IP 地址，最好選擇 SNAT 策略而不是 MASQUERADE策略，以減少不必要的系統(tǒng)開(kāi)銷(xiāo)。

2. DNAT策略及應(yīng)用

DNAT（Destination Network Address Translation，目標(biāo)地址轉(zhuǎn)換）是 Linux 防火墻的另一種地址轉(zhuǎn)換操作，同樣也是 iptables 命令中的一種數(shù)據(jù)包控制類(lèi)型，其作用是根據(jù)指定條件修改數(shù)據(jù)包的目標(biāo) IP 地址和目標(biāo)端口。

2.1 DNAT 策略概述

DNAT 策略與 SNAT 非常相似，只不過(guò)應(yīng)用方向相反。 SNAT 用來(lái)修改源 IP 地址，而DNAT 用來(lái)修改目標(biāo) IP 地址和目標(biāo)端口； SNAT 只能用在 nat 表的 POSTROUTING 鏈，而DNAT 只能用在 nat 表的 PREROUTING 鏈和 OUTPUT 鏈（或被其調(diào)用的鏈）中。

下面仍以上一節(jié)的小型企業(yè)網(wǎng)絡(luò)為例，考慮到應(yīng)用的安全和穩(wěn)定性，公司將對(duì)外的網(wǎng)站服務(wù)器架設(shè)在一個(gè)內(nèi)部網(wǎng)絡(luò)中，如圖 3.4 所示，公司對(duì)外只有一個(gè)公網(wǎng) IP 地址，又需要使Internet 中的客戶(hù)機(jī)能夠訪(fǎng)問(wèn)公司的網(wǎng)站。

iptables 防火墻(二),服務(wù)器,linux,網(wǎng)絡(luò)

在 Internet 環(huán)境中，企業(yè)所注冊(cè)的網(wǎng)站域名（如 www.benet.com）必須對(duì)應(yīng)合法的公網(wǎng) IP 地址（如 218.29.30.31）。在這種情況下，Internet 中的客戶(hù)機(jī)將無(wú)法訪(fǎng)問(wèn)公司內(nèi)網(wǎng)的服務(wù)器，除非在網(wǎng)關(guān)服務(wù)器中正確設(shè)置 DNAT 策略。

使用 DNAT 策略的效果如下：當(dāng) Internet 中的客戶(hù)機(jī)提交的 HTTP 請(qǐng)求到達(dá)企業(yè)的網(wǎng)關(guān)服務(wù)器時(shí)，網(wǎng)關(guān)首先判斷數(shù)據(jù)包的目標(biāo)地址和目標(biāo)端口，若發(fā)現(xiàn)該數(shù)據(jù)包需要訪(fǎng)問(wèn)本機(jī)的80 端口，則將其目標(biāo) IP 地址（如 218.29.30.31）修改為內(nèi)網(wǎng)中真正的網(wǎng)站服務(wù)器的 IP 地址（如 192.168.1.6），然后才發(fā)送給內(nèi)部的網(wǎng)站服務(wù)器，如圖 3.5 所示。

iptables 防火墻(二),服務(wù)器,linux,網(wǎng)絡(luò) ?在上述 DNAT 轉(zhuǎn)換地址的過(guò)程，網(wǎng)關(guān)服務(wù)器會(huì)根據(jù)之前建立的 DNAT 映射，修改返回的 HTTP 應(yīng)答數(shù)據(jù)包的源 IP 地址，最后再返回給 Internet 中的客戶(hù)機(jī)。Internet 中的客戶(hù)機(jī)并不知道企業(yè)網(wǎng)站服務(wù)器的真實(shí)局域網(wǎng)地址，中間的轉(zhuǎn)換完全由網(wǎng)關(guān)主機(jī)完成。通過(guò)設(shè)置恰當(dāng)?shù)?DNAT 策略，企業(yè)內(nèi)部的服務(wù)器就可以面向 Internet 提供服務(wù)了。

2.2 DNAT策略的應(yīng)用

DNAT 的典型應(yīng)用是在 Internet 中發(fā)布企業(yè)內(nèi)部的服務(wù)器，處理數(shù)據(jù)包的切入時(shí)機(jī)是在路由選擇之前（PREROUTING）進(jìn)行。關(guān)鍵操作是將訪(fǎng)問(wèn)網(wǎng)關(guān)外網(wǎng)接口 IP 地址（公有地址）的數(shù)據(jù)包的目標(biāo)地址修改為實(shí)際提供服務(wù)的內(nèi)部服務(wù)器的 IP 地址（私有地址）

使用 iptables 命令設(shè)置 DNAT 策略時(shí)，需要結(jié)合 “--to-destination IP 地址 ”選項(xiàng)來(lái)指定內(nèi)部服務(wù)器的 IP 地址（如 -j DNAT --to-destination 218.29.30.31）。下面將通過(guò)兩個(gè)實(shí)例來(lái)說(shuō)明 DNAT 策略的用法。

2.2.1? 發(fā)布企業(yè)內(nèi)部的Web服務(wù)器

案例環(huán)境如圖 3.4 所示，需求描述如下。

公司注冊(cè)的網(wǎng)站域名為 www.benet.com，IP 地址為 218.29.30.31（網(wǎng)卡 ens33）。
公司的網(wǎng)站服務(wù)器位于局域網(wǎng)內(nèi)，IP 地址為 192.168.1.6。
要求能夠從 Internet 中通過(guò)訪(fǎng)問(wèn) www.benet.com 來(lái)查看公司的網(wǎng)站內(nèi)容。?

根據(jù)上述環(huán)境，推薦的操作步驟如下。

（1）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

[root@node1 ~]# cat /etc/sysctl.conf 
net.ipv4.ip_forward = 1
[root@node1 ~]# sysctl -p
net.ipv4.ip_forward = 1
[root@node1 ~]#

?（2）正確設(shè)置DNAT策略文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-775368.html

通過(guò)分析得知，需要針對(duì) Internet 中的任意主機(jī)訪(fǎng)問(wèn)網(wǎng)關(guān) 80 端口的數(shù)據(jù)包，將目標(biāo)地址修改為位于內(nèi)網(wǎng)的網(wǎng)站服務(wù)器的 IP 地址，網(wǎng)關(guān)的防火墻參考規(guī)則如下所示。

[root@node1 ~]# iptables -t nat -A PREROUTING -i ens33 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.201.131
[root@node1 ~]#

（3）測(cè)試DNAT發(fā)布結(jié)果

在網(wǎng)站服務(wù)器 192.168.1.6 中正確配置、啟動(dòng) Web 服務(wù)，并提供測(cè)試網(wǎng)頁(yè)，如在首頁(yè)文件 index.html 中加入 “Here is 192.168.1.6” 的識(shí)別標(biāo)記。然后通過(guò) Internet 中的客戶(hù)機(jī)訪(fǎng)問(wèn)網(wǎng)站 http://www.benet.com （如果沒(méi)有做 DNS 解析，也可以直接訪(fǎng)問(wèn) http://218.29.30.31或者直接通過(guò)綁 host 方式實(shí)現(xiàn)），在瀏覽器中看到的將會(huì)是實(shí)際由網(wǎng)站服務(wù)器 192.168.1.6提供的頁(yè)面內(nèi)容。

2.2.2 發(fā)布企業(yè)內(nèi)部的 OpenSSH服務(wù)器

大多數(shù)情況下， DNAT 策略只是用來(lái)修改數(shù)據(jù)包的目標(biāo) IP 地址，但在需要時(shí)也可以修改目標(biāo)端口號(hào)。例如，在圖 3.4 所示的案例結(jié)構(gòu)中，為了方便服務(wù)器的遠(yuǎn)程管理，網(wǎng)關(guān)、網(wǎng)站服務(wù)器都配置了 OpenSSH 服務(wù)，分別授權(quán)給不同的用戶(hù)從 Internet 遠(yuǎn)程登錄。

在這種情況下，需要通過(guò)同一個(gè)公網(wǎng) IP 地址 218.29.30.31 發(fā)布位于多臺(tái)主機(jī)中的同一種服務(wù)，為了避免發(fā)生沖突，就必須從端口上進(jìn)行區(qū)分。案例環(huán)境如圖 3.4 所示，需求描述如下。

網(wǎng)關(guān)的公網(wǎng) IP 地址為 218.29.30.31，在 2345 端口啟用 OpenSSH 服務(wù)。
網(wǎng)站服務(wù)器位于局域網(wǎng)內(nèi)，IP 地址為 192.168.1.6，在 22 端口啟用 OpenSSH 服務(wù)。要求能夠從 Internet 中遠(yuǎn)程管理網(wǎng)關(guān)服務(wù)器和網(wǎng)站服務(wù)器，訪(fǎng)問(wèn) 218.29.30.31 的 2345端口時(shí)對(duì)應(yīng)網(wǎng)關(guān)服務(wù)器，而訪(fǎng)問(wèn) 218.29.30.31 的 2346 端口時(shí)對(duì)應(yīng)網(wǎng)站服務(wù)器。

上述需求中，通過(guò)公網(wǎng) IP 地址 218.29.30.31 的 2345 、 2346 端口分別提供服務(wù)，均未

使用默認(rèn)的 22 端口，安全性要更好一些。推薦的操作步驟如下。

（1）配置OpenSSH服務(wù)

在網(wǎng)關(guān)、網(wǎng)站服務(wù)器中均開(kāi)啟 OpenSSH 服務(wù)，分別使用 2345 、 22 端口。其中網(wǎng)關(guān)的

sshd 服務(wù)因直接面向 Internet ，因此不使用默認(rèn)端口。

? （2）打開(kāi)網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)

[root@node1 ~]# vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@node1 ~]# sysctl -p

? （3）?正確設(shè)置DNAT策略

通過(guò)分析得知，網(wǎng)關(guān)本機(jī)的 sshd 服務(wù)直接面向 Internet，因此不需要地址轉(zhuǎn)換，但網(wǎng)站服務(wù)器位于內(nèi)網(wǎng)，必須通過(guò) DNAT 策略進(jìn)行發(fā)布。在網(wǎng)關(guān)中設(shè)置防火墻規(guī)則，修改訪(fǎng)問(wèn)外網(wǎng) IP 地址 2346 端口的數(shù)據(jù)包，將目標(biāo)地址改為 192.168.1.6 ，將目標(biāo)端口改為 22，以便轉(zhuǎn)發(fā)給網(wǎng)站服務(wù)器。

[root@node1 ~]# iptables -t nat -A PREROUTING -i ens33 -d 218.29.30.31 -p tcp --dport 2346 -j DNAT --to-destination 192.168.201.131:22
[root@node1 ~]#

（4）測(cè)試DNAT發(fā)布結(jié)果

前述步驟完成以后，可以在 Internet 中進(jìn)行 SSH 登錄測(cè)試。例如，可以使用 Linux 客戶(hù)機(jī)，通過(guò) ssh 命令分別訪(fǎng)問(wèn) 218.29.30.31 的 2345 、 2346 端口，觀察登錄情況。

3. 規(guī)則的導(dǎo)入、導(dǎo)出

在 Linux 系統(tǒng)中， iptables 為我們提供了批量備份與恢復(fù)規(guī)則的命令，也提供了標(biāo)準(zhǔn)的系統(tǒng)服務(wù)以便開(kāi)啟、關(guān)閉防火墻功能。

3.1 規(guī)則的備份及還原

防火墻規(guī)則的批量備份、還原用到兩個(gè)命令，即 iptables-save 和 iptables-restore，分別用來(lái)保存（ Save ）和恢復(fù)（ Restore）。

3.1.1 iptables-save 命令

iptables-save 命令用來(lái)批量導(dǎo)出 Linux 防火墻規(guī)則。直接執(zhí)行 iptables-save 命令時(shí)，將顯示出當(dāng)前啟用的所有規(guī)則。

[root@node1 ~]# iptables-save
# Generated by iptables-save v1.4.21 on Fri Dec 29 10:06:31 2023
*mangle
:PREROUTING ACCEPT [1161:92458]
:INPUT ACCEPT [1161:92458]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [723:64195]
:POSTROUTING ACCEPT [756:69795]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Fri Dec 29 10:06:31 2023
# Generated by iptables-save v1.4.21 on Fri Dec 29 10:06:31 2023
*nat
:PREROUTING ACCEPT [3:687]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [14:1064]
:POSTROUTING ACCEPT [14:1064]
-A PREROUTING -d 218.29.30.31/32 -i ens33 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.201.131
-A PREROUTING -d 218.29.30.31/32 -i ens33 -p tcp -m tcp --dport 2346 -j DNAT --to-destination 192.168.201.131:22
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
......

在 iptables-save 命令的輸出信息中，以 “#” 號(hào)開(kāi)頭的內(nèi)容表示注釋?zhuān)?/span> “* 表名 ”表示所在的表， “: 鏈名默認(rèn)策略 ” 表示相應(yīng)的鏈及默認(rèn)策略，具體的規(guī)則部分省略了命令名 “iptables”，后面的 “COMMIT” 表示提交前面的規(guī)則設(shè)置。

由于 iptables-save 命令只是把規(guī)則內(nèi)容輸出到屏幕上，因此當(dāng)需要保存為固定的文件時(shí)，還應(yīng)該結(jié)合重定向輸出的操作以完成備份。例如，若要將當(dāng)前已設(shè)置的所有防火墻規(guī)則備份為 /opt/iprules_all.txt 文件，可以執(zhí)行以下操作。

[root@node1 ~]# iptables-save > /opt/iprules_all.txt   ###備份所有表的規(guī)則

3.1.2? iptables-restore 命令

iptables-retore 命令用來(lái)批量導(dǎo)入 Linux 防火墻規(guī)則，如果已經(jīng)使用 iptables-save 命令導(dǎo)出的備份文件，則恢復(fù)規(guī)則的過(guò)程在一瞬間就能完成。與 iptables-save 命令相對(duì)的ptables-restore 命令應(yīng)結(jié)合重定向輸入來(lái)指定備份文件的位置。

[root@node1 ~]# iptables-restore < /opt/iprules_all.txt   ###從備份文件恢復(fù)規(guī)則

3.2 使用iptables服務(wù)

通過(guò)名為 iptables 的系統(tǒng)服務(wù)，可以快速啟用、清空防火墻規(guī)則。 iptables 服務(wù)使用的規(guī)則文件位于 /etc/sysconfig/iptables 文件中，配置格式與 iptables-save 命令輸出的一致。

3.2.1 自動(dòng)啟用防火墻規(guī)則

在服務(wù)器中調(diào)試好各種 iptables 規(guī)則以后，使用 iptables-save 備份為默認(rèn)的規(guī)則配置文件 /etc/sysconfig/iptables ，然后就可以通過(guò) iptables 服務(wù)來(lái)調(diào)用。例如，執(zhí)行以下操作將保存當(dāng)前的防火墻規(guī)則，并設(shè)置在每次開(kāi)機(jī)后根據(jù)已保存的規(guī)則內(nèi)容自動(dòng)進(jìn)行重建。

[root@node1 ~]# iptables-save > /etc/sysconfig/iptables
[root@node1 ~]# systemctl enable iptables
[root@node1 ~]# systemctl list-unit-files | grep iptables
iptables.service                              enabled 
[root@node1 ~]#

當(dāng)需要啟用 /etc/sysconfig/iptables 文件中的規(guī)則設(shè)置時(shí)，只需要啟動(dòng) iptables 服務(wù)即可。

[root@node1 ~]# systemctl start iptables  ## 啟動(dòng)防火墻服務(wù)
[root@node1 ~]# service iptables start
Redirecting to /bin/systemctl start iptables.service
## 也支持service iptables start 方式啟動(dòng)，實(shí)際上還是跳轉(zhuǎn)到了systemctl 方式

3.2.2 清空所有防火墻規(guī)則

在調(diào)試各種防火墻規(guī)則的過(guò)程中，為了排除其他規(guī)則的干擾，有時(shí)候需要清空某些表的規(guī)則。當(dāng)需要一次清空所有表的規(guī)則時(shí)，停用 iptables 服務(wù)是最快捷的方法，也是最徹底的方法。

[root@node1 ~]# systemctl stop iptables.service 
[root@node1 ~]# systemctl status iptables.service 
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)
   Active: inactive (dead) since 五 2023-12-29 10:15:39 CST; 6s ago
  Process: 2575 ExecStop=/usr/libexec/iptables/iptables.init stop (code=exited, status=0/SUCCESS)
 Main PID: 631 (code=exited, status=0/SUCCESS)

12月 29 09:40:52 node1 systemd[1]: Starting IPv4 firewall with iptables...
12月 29 09:40:52 node1 iptables.init[631]: iptables: Applying firewall rules: [  確定  ]
12月 29 09:40:52 node1 systemd[1]: Started IPv4 firewall with iptables.
12月 29 10:15:39 node1 systemd[1]: Stopping IPv4 firewall with iptables...
12月 29 10:15:39 node1 iptables.init[2575]: iptables: Setting chains to policy ACCEPT: mangle nat filter [  確定  ]
12月 29 10:15:39 node1 iptables.init[2575]: iptables: Flushing firewall rules: [  確定  ]
12月 29 10:15:39 node1 systemd[1]: Stopped IPv4 firewall with iptables.
[root@node1 ~]#

4. 使用防火墻腳本

本章介紹防火墻腳本的應(yīng)用，防火墻腳本實(shí)際上是一個(gè) Shell 腳本程序。

4.1 防火墻腳本的構(gòu)成

防火墻腳本的優(yōu)勢(shì)是便于使用 Shell 變量、程序控制邏輯，另外其作為獨(dú)立的文件在需要重用、移植使用時(shí)會(huì)非常方便，這也是作為 Shell 腳本的強(qiáng)大之處。

常見(jiàn)的 Linux 防火墻腳本中，通常包括變量定義、模塊加載、 /proc 調(diào)整、規(guī)則設(shè)置等

多個(gè)部分（過(guò)于簡(jiǎn)化的腳本可能僅包括規(guī)則設(shè)置部分），下面分別進(jìn)行介紹。

4.1.1 定義基本變量

將防火墻的網(wǎng)卡、 IP 地址、局域網(wǎng)段、 iptables 命令的路徑等定義為變量，便于對(duì)腳本程序的維護(hù)和移植使用，特別是當(dāng)規(guī)則較多的時(shí)候。一旦網(wǎng)絡(luò)環(huán)境發(fā)生變化（如公網(wǎng) IP 地址變更），只需對(duì)變量值稍做修改就可以投入使用了。

[root@node1 ~]# vim /opt/myipfw.sh  //創(chuàng)建腳本文件
#!/bin/bash                          
INET_IF= "ens33"                    //外網(wǎng)接口
INET_IP= "218.29.30.31"             //外網(wǎng)接口地址    
LAN_IF= "ens37"                     //內(nèi)網(wǎng)接口   
LAN_IP= "192.168.1.1"               //內(nèi)網(wǎng)接口地址
LAN_NET= "192.168.1.0/24"           //內(nèi)網(wǎng)網(wǎng)段
LAN_WWW_IP= "192.168.1.6"           //網(wǎng)站服務(wù)器的內(nèi)部地址
IPT= "/sbin/iptables"               //iptables 命令的路徑
MOD= "/sbin/modprobe"               //modprobe 命令的路徑
CTL= "/sbin/sysctl"                 //sysctl 命令的路徑

設(shè)置好相關(guān)的變量以后，在后續(xù)的腳本內(nèi)容中就可以直接引用了。為了提高腳本代碼的可讀性，除了添加必要的注釋之外，變量名稱(chēng)最好使用有一定含義的字符串。

4.1.2 加載內(nèi)核模塊

在 CentOS 7.3 系統(tǒng)中， iptables 命令的大部分模塊都可以根據(jù)需要?jiǎng)討B(tài)載入內(nèi)核，只有個(gè)別模塊需要手動(dòng)進(jìn)行加載（如與 FTP 發(fā)布相關(guān)的 ip_nat_ftp 、ip_conntrack_ftp）。但如果需要啟用的規(guī)則數(shù)量較多，為了提高規(guī)則設(shè)置的效率，保持防火墻的穩(wěn)定性，建議將用到的各種模塊提前加載到內(nèi)核中。

$MOD ip_tables   //iptables 基本模塊
$MOD ip_conntrack   //連接跟蹤模塊
$MOD ipt_REJECT   //拒絕操作模塊
$MOD ipt_LOG   //日志記錄模塊
$MOD ipt_iprange   //支持 IP 范圍匹配
$MOD xt_tcpudp   //支持 TCP、UDP 協(xié)議
$MOD xt_state   //支持狀態(tài)匹配
$MOD xt_multiport   //支持多端口匹配
$MOD xt_mac   //支持 MAC 地址匹配
$MOD ip_nat_ftp   //支持 FTP 地址轉(zhuǎn)換
$MOD ip_conntrack_ftp   //支持 FTP 連接跟蹤

4.1.3 調(diào)整/proc 參數(shù)

/proc 是 Linux 或 UNIX 系統(tǒng)中的一種偽文件系統(tǒng)機(jī)制，提供了訪(fǎng)問(wèn)內(nèi)核運(yùn)行結(jié)構(gòu)、改變內(nèi)核設(shè)置的實(shí)時(shí)數(shù)據(jù)。與 EXT3 、 FAT32 等本地文件系統(tǒng)不同， /proc 中的數(shù)據(jù)存放在內(nèi)存中而不是硬盤(pán)上。

在文件夾 /proc/sys 下存放著與系統(tǒng)相關(guān)的一些可控參數(shù)，可以直接用來(lái)改變內(nèi)核的行為，通常作為 Linux 內(nèi)核調(diào)優(yōu)的實(shí)時(shí)入口。其中包括是否打開(kāi) IP 轉(zhuǎn)發(fā)、是否響應(yīng) ICMP 廣播、設(shè)置好 TCP 響應(yīng)超時(shí)等，使用 echo 、 sysctl 命令都可以修改相關(guān)參數(shù)，當(dāng)然也可以寫(xiě)到 /etc/sysctl.conf 文件（執(zhí)行 sysctl -p 后生效）。

下面僅列出常用的幾個(gè) /proc 參數(shù)調(diào)整，更多細(xì)節(jié)、調(diào)優(yōu)操作此處不做過(guò)多介紹。

$CTL -w net.ipv4.ip_forward=1   //打開(kāi)路由轉(zhuǎn)發(fā)功能
$CTL -w net.ipv4.ip_default_ttl=128   //修改 ICMP 響應(yīng)超時(shí)
$CTL -w net.ipv4.icmp_echo_ignore_all=1   //拒絕響應(yīng) ICMP 請(qǐng)求
$CTL -w net.ipv4.icmp_echo_ignore_broadcasts   //拒絕響應(yīng) ICMP 廣播
$CTL -w net.ipv4.tcp_syncookies=1   //啟用 SYN Cookie 機(jī)制
$CTL -w net.ipv4.tcp_syn_retries=3   //最大 SYN 請(qǐng)求重試次數(shù)
$CTL -w net.ipv4.tcp_synack_retries=3   //最大 ACK 確認(rèn)重試次數(shù)
$CTL -w net.ipv4.tcp_fin_timeout=60   //TCP 連接等待超時(shí)
$CTL -w net.ipv4.tcp_max_syn_backlog=3200   //SYN 請(qǐng)求的隊(duì)列長(zhǎng)度

上述腳本內(nèi)容中， ICMP 相關(guān)的參數(shù)調(diào)整可使本機(jī)忽略其他主機(jī)的 ping 測(cè)試， TCP 相

關(guān)的內(nèi)核參數(shù)調(diào)整可適當(dāng)提高本機(jī)抵抗 DoS 攻擊的能力。

4.1.4 設(shè)置具體的iptables規(guī)則

在腳本文件中，建議按照不同的表、鏈來(lái)分塊組織各種防火墻規(guī)則，具體內(nèi)容應(yīng)根據(jù)用

戶(hù)的實(shí)際需求決定。

（1）清理已有規(guī)則

為了避免已有的防火墻規(guī)則造成干擾，通常會(huì)預(yù)先安排一個(gè) “ 清理 ” 操作，刪除所有表中

用戶(hù)自定義的鏈，清空所有鏈內(nèi)的規(guī)則。

$IPT -t filter –X   //刪除各表中自定義的鏈
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter –F   //清空各表中已有的規(guī)則
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw -F

（2）設(shè)置規(guī)則鏈的默認(rèn)策略

在實(shí)際生產(chǎn)環(huán)境中，防火墻過(guò)濾規(guī)則建議采取 “ 默認(rèn)拒絕 ” 的策略，可以獲得更好的安全

性。這就要求我們充分熟悉相關(guān)應(yīng)用服務(wù)、網(wǎng)絡(luò)協(xié)議，才能夠識(shí)別合法數(shù)據(jù)包，制定出既防護(hù)嚴(yán)格又行之有效的防火墻方案。

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

學(xué)習(xí)過(guò)程中建議采用 “ 默認(rèn)允許 ” 的策略，將默認(rèn)策略中的 DROP 改為 ACCEPT ，以免

在使用不完整的防火墻腳本時(shí)引起網(wǎng)絡(luò)故障。

（3）設(shè)置nat表中的各種規(guī)則

iptables 的 nat 表主要用在 Linux 網(wǎng)關(guān)服務(wù)器中，一般的主機(jī)型防火墻方案很少會(huì)用到nat 表。根據(jù)實(shí)際情況編寫(xiě)相應(yīng)的 SNAT 、 DNAT 規(guī)則（如局域網(wǎng)共享上網(wǎng)、發(fā)布內(nèi)部 Web服務(wù)器），如果沒(méi)有則跳過(guò)此部分。

$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP
$IPT -t nat -A PREROUTING -i $INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-dest
ination $LAN_WWW_IP

（4）設(shè)置filter表的各種規(guī)則

iptables 的 filter 表主要用來(lái)過(guò)濾數(shù)據(jù)包，無(wú)論是 Linux 網(wǎng)關(guān)還是一般的 Linux 服務(wù)器都可能用到。主機(jī)型的防火墻主要使用 INPUT 、 OUTPUT 鏈，而對(duì)于網(wǎng)絡(luò)型的防火墻主要使用 FORWARD 鏈。

?以 Linux 網(wǎng)關(guān)為例，在 “ 默認(rèn)拒絕 ” 的前提下，若要實(shí)現(xiàn)共享上網(wǎng)，除了正常的 SNAT 策略以外，還需要放行內(nèi)網(wǎng) PC 與 Internet 中 DNS 、 Web 、 FTP 等服務(wù)的通信。

$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p udp --dport 53 -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p tcp --dport 20:21 -j ACCEPT
$IPT -A FORWARD -d $LAN_NET -i $INET_IF -m state --state ESTABLISHED, RELATED
-j ACCEPT
......

需要說(shuō)明的是，在實(shí)際應(yīng)用過(guò)程中，不要過(guò)于生硬地照搬他人腳本內(nèi)容，應(yīng)根據(jù)實(shí)際情況進(jìn)行有針對(duì)性的設(shè)計(jì)，并做好整體測(cè)試，避免因規(guī)則不當(dāng)而導(dǎo)致網(wǎng)絡(luò)通信故障。

腳本文件編寫(xiě)完成以后，為其添加 “x”可執(zhí)行權(quán)限，就可以用來(lái)批量設(shè)置防火墻規(guī)則了。若要使腳本文件在每次開(kāi)機(jī)后自動(dòng)運(yùn)行，可以將腳本路徑寫(xiě)入 /etc/rc.local 文件中。

[root@node1 ~]# chmod +x /opt/myipfw.sh //添加執(zhí)行權(quán)限
[root@node1 ~]# /opt/myipfw.sh //執(zhí)行腳本文件
[root@node1 ~]# iptables -nL FORWARD //查看部分防火墻規(guī)則
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpts:20:21
ACCEPT all -- 0.0.0.0/0 192.168.1.0/24 state RELATED,ESTABLISHED

到了這里，關(guān)于iptables 防火墻(二)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

防火墻之服務(wù)器負(fù)載均衡
防火墻（英語(yǔ)：Firewall）技術(shù)是通過(guò)有機(jī)結(jié)合各類(lèi)用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，以保護(hù)用戶(hù)資料與信息安全性的一種技術(shù)。防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安
2024年02月07日
瀏覽(20)
服務(wù)器防火墻狀態(tài)怎么查看
在現(xiàn)代網(wǎng)絡(luò)環(huán)境中，服務(wù)器的安全運(yùn)行至關(guān)重要。其中，防火墻作為第一道防線(xiàn)，是保障服務(wù)器安全的關(guān)鍵一環(huán)。在服務(wù)器管理中，我們經(jīng)常需要查看防火墻的狀態(tài)，以便及時(shí)發(fā)現(xiàn)問(wèn)題并快速解決。小編將介紹如何在不同操作系統(tǒng)下查看服務(wù)器防火墻的狀態(tài)。首先我們以Wi
2024年02月10日
瀏覽(30)
服務(wù)器防火墻有哪些用處
服務(wù)器防火墻是一個(gè)用于在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪(fǎng)問(wèn)控制策略的系統(tǒng)，它通常由軟件和硬件構(gòu)成。服務(wù)器防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。防火墻的主要功能包括阻止某些類(lèi)型的流量通過(guò)（雙向）防火墻，允
2024年01月20日
瀏覽(28)
【Linux】iptables防火墻
Linux 系統(tǒng)的防火墻：IP信息包過(guò)濾系統(tǒng)，它實(shí)際上由兩個(gè)組件netfilter 和 iptables組成。主要工作在網(wǎng)絡(luò)層，針對(duì)IP數(shù)據(jù)包，體現(xiàn)在對(duì)包內(nèi)的IP地址、端口、協(xié)議等信息的處理上。 netfilter 位于Linux內(nèi)核中的包過(guò)濾功能體系稱(chēng)為L(zhǎng)inux防火墻的“內(nèi)核態(tài)\\\" iptables 位于/sbin/iptables，用來(lái)管
2024年02月07日
瀏覽(20)
Linux——iptables防火墻
Linux系統(tǒng)的防火墻：IP信息包過(guò)濾系統(tǒng)，它實(shí)際上由兩個(gè)net filter和iptables組成。主要工作在網(wǎng)絡(luò)層，針對(duì)IP數(shù)據(jù)包。體現(xiàn)在對(duì)包內(nèi)的IP地址、端口、協(xié)議等信息的處理上。 netfilter：屬于“內(nèi)核態(tài)”（Kernel Space，又稱(chēng)內(nèi)核空間）的防火墻功能體系是內(nèi)核的一部分，由一些數(shù)據(jù)包
2024年02月07日
瀏覽(19)
防火墻之部署服務(wù)器NAT
NAT（Network Address Translation），是指網(wǎng)絡(luò)地址轉(zhuǎn)換，1994年提出的。當(dāng)在專(zhuān)用網(wǎng) 內(nèi)部的一些主機(jī)本來(lái)已經(jīng)分配到了本地IP地址（即僅在本專(zhuān)用網(wǎng)內(nèi)使用的專(zhuān)用地址），但又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法。這種方法需要在專(zhuān)用網(wǎng)（私網(wǎng)IP）連接到因
2024年02月08日
瀏覽(16)
服務(wù)器防火墻和安全組放開(kāi)
我的項(xiàng)目上傳后安全組也放開(kāi)了但是訪(fǎng)問(wèn)項(xiàng)目地址404，最后發(fā)現(xiàn)是服務(wù)器防火墻沒(méi)放行。下面介紹一下如何排查防火墻問(wèn)題。查看防火墻狀態(tài)：systemctl status firewalld 禁用防火墻：systemctl stop firewalld 啟動(dòng)防火墻：systemctl start firewalld 設(shè)置開(kāi)機(jī)啟動(dòng)：systemctl enable firewalld 重啟防
2024年03月11日
瀏覽(28)
華為防火墻實(shí)現(xiàn)服務(wù)器負(fù)載均衡
292、實(shí)驗(yàn)：服務(wù)器的負(fù)載均衡SLB 實(shí)驗(yàn)topo：實(shí)驗(yàn)場(chǎng)景：一些訪(fǎng)問(wèn)流量較大的服務(wù)，會(huì)面臨著有多個(gè)服務(wù)器的情況，所以我們就要在多個(gè)服務(wù)器之間做負(fù)載均衡；實(shí)驗(yàn)需求：新建一條負(fù)載均衡NAT，讓外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器的時(shí)候，能夠?qū)崿F(xiàn)負(fù)載均衡，并且，負(fù)載均衡使用輪詢(xún)算
2023年04月08日
瀏覽(35)
服務(wù)器防火墻開(kāi)放端口（解決服務(wù)器端口無(wú)法訪(fǎng)問(wèn)問(wèn)題）
目錄一、解決思路 1. 判斷服務(wù)器使用的是firewall還是iptable 2. 判斷firewall當(dāng)前開(kāi)啟的服務(wù)和端口，查看當(dāng)前firewall的所有信息 3. 添加http服務(wù) 4. 重新執(zhí)行 5. 添加開(kāi)放端口 6.查看端口是否開(kāi)放成功補(bǔ)充 1、查看firewall服務(wù)狀態(tài) 2、查看firewall的狀態(tài) 3、開(kāi)啟、重啟、關(guān)閉、firewall
2024年02月15日
瀏覽(50)
Linux系統(tǒng)防火墻iptables
目錄一、iptables防火墻概述 1.簡(jiǎn)介 2.netfilter/iptables關(guān)系 3.iptables的四表五鏈（1）四表（2）五鏈 4.數(shù)據(jù)包過(guò)濾的匹配流程（1）入站（2）轉(zhuǎn)發(fā) （3）出站二、iptables防火墻配置 1.下載相關(guān)服務(wù) 2.iptables命令 3.實(shí)操（1）添加新的規(guī)則（2）查看規(guī)則（3）刪除規(guī)則（4）清空規(guī)
2024年02月04日
瀏覽(22)