|
|
打开端口转发的功能4 q/ r0 [3 V( k% U
5 f0 B9 C. `# K- X1,首先开启IP转发功能,默认是关闭的。
$ e5 N: q- L- o8 C: q l- ?. T1 i! b9 S1 v) @8 j
临时修改:# G, j5 T5 \1 b; M5 d$ k; Q. T
! d8 T2 G6 `+ E+ z, Z3 S# c+ }
19 o/ I+ R# C5 S& i
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
$ Q0 E" ?% L' V: E4 k" t修改过后就马上生效,但如果系统重启后则又恢复为默认值0。6 E. ]# D% V3 R8 F% h% L2 F
( h: w# b4 U" |6 |$ I& _/ J4 Y& E# R永久修改:4 _* V d2 W( V" v3 H7 ^! X
. F+ T# s B) z, W, V) I1
' Q2 B7 [; t4 n/ M3 H, F3 L" W3 O8 B2
! [: E8 C T: ?& k35 t2 [* |/ o0 Z3 o
4
1 f* W4 a8 Q" j6 V9 y5
$ y& f$ b4 f0 w3 G3 ivi /etc/sysctl.conf
/ F( A# v S* k* ~1 k; \
# h; O# T) A- g; i; ]# 找到下面的值并将0改成1,如果没有该配置,直接添加
8 O: g( ]5 ~$ J0 `/ o% M
; m8 O/ D5 ^. Jnet.ipv4.ip_forward = 16 i! `5 G7 T4 c& u2 } @
# sysctl -p(使之立即生效)
8 j! U$ O/ Q. o# S7 s: V- Y8 P, { s
默认值0是禁止ip转发,修改为1即开启ip转发功能。
& z5 c% v% ^( c) g2 b5 c+ [6 F
5 @& p2 v8 r8 D- S* X! T7 s
7 j7 o* X* \" G I% p* W( c; c3 u* l1 v* f/ y7 L
端口转发
! z6 R; {9 _9 M) ^* x5 |- v+ x" W: g- C, H
假设用户访问本机(10.1.1.5)的3306端口时我想让它转发到10.1.1.1:3306
; s9 b$ s9 s8 y5 ?% l+ D3 N9 D2 r1 q/ B' @' T7 G7 X
1# ?7 e/ X p$ L
2
$ i) [8 p0 @0 f$ Q$ p3
! Z+ P. ^# B2 L n7 [4 a# _) B4
$ U( {4 p1 ~: ^( ^1 _, x5
6 s7 V$ I; e9 l[root@mongo iptables]# cat iptables-open.sh
6 G* e9 k! O5 t; \. u B#!/bin/bash7 G3 z' G4 a1 e% C* a I& A
" B. ?$ T4 r# B$ ^5 Giptables -t nat -A PREROUTING -p tcp --dport 3306 -j DNAT --to 10.1.1.1:3306
X7 w1 H8 g% e9 R) b) uiptables -t nat -A POSTROUTING -p tcp -d 10.1.1.1 --dport 3306 -j MASQUERADE" ]: J% v+ M F7 }, B9 M7 F
6 u$ @9 n0 l& k( v7 n! ?
4 J' u- [: n1 L/ ]查看规则- g3 K/ S: y: i" b7 k2 _: J) r
1 U9 M8 s/ {9 x查看当前iptables的nat表内的规则$ L5 \! O, F) A' f8 j) g
# H' U6 Z4 r* w: G! u! F) k( v
1( H/ ~7 `* y! Y# E% o- d& ~, P" s {1 U
iptables -t nat -nL --line
8 W( P4 ?0 k8 U+ n0 D* z/ n0 ^命令解释:" I. H$ }# F4 K1 ?
0 [0 g# Z# X9 B5 L1( H% }. D6 w- N( L1 T$ h
2% ~. ^7 z* `' j3 h: B% \5 X. \
32 K7 [: K+ q' E! V
4
* f$ E0 W2 o- g1 o$ O0 A" |; y5% n! O" k; ^. j2 b `
-t nat指定看nat表,不用-t默认为filter表
) w' p/ p% @5 T, x1 H-L 列出表内所有规则,可以指定特定链
) c4 T7 J, Y( `) j' u3 `3 M0 Y# t9 S-n 使输出中的IP地址和端口以数值的形式显示0 p$ M# Y: c G" i+ i; y( M- @
-v 输出详细化
2 p: ^$ T6 J3 E: u--line 显示出每条规则在相应链中的序号
1 d& n `9 X" B' g s( r7 R/ @2 j! M' s: X' c9 [, L4 j
/ d8 _+ X% e: F! I1 H
$ p$ W: ~* `( V; t' n
; b4 o7 x4 P. [7 J6 y( h7 o8 p* L
删除规则
0 r7 U2 p' t1 Z2 ^4 p' [! D0 Z, F$ p! x2 t
如果要删除PREROUTING规则,命令为( p, L" M( u+ n& D9 z) M( A- N
2 z: h2 c+ i8 Y. g8 d' h9 B7 z
1
# s8 m1 S& Y1 k3 }/ H. X5 liptables -t nat -D PREROUTING 1 # 1 代表前面的规则序号5 B/ @ ]0 r* A- _
如果要删除POSTROUTING规则,命令为1 `+ b8 q8 {3 s E
7 _6 R% ^6 @2 t2 ~
13 u6 ]+ y6 I% k' g
iptables -t nat -D POSTROUTING 5 # 5 代表前面的规则序号
, X! M" I6 L9 \命令解释
, e7 a9 i$ h m% r1 ~
~, c( d A. n! c8 s, x8 i1
h3 Y$ \( Y9 ~2 r7 v, ^& l2
9 X q3 y& m7 x5 D) K' O" b3+ _$ c1 U; a; {* J3 S3 h
4' R: }1 [5 ^: m; G
5% B& I5 N" D' k6 b
6" r* H2 }: P/ A: ?9 q) {
7
% `6 u n |8 h, T4 a6 K8. V' C0 l# c8 T7 m7 U. g3 |
9
6 T( u( `: r( r: J# g7 C$ b9 V+ S10
5 s+ b- K/ W$ `- `+ J11
' y7 Y& S( U! @( C" ?12
: Z& ^1 M- g( R" R13
" W9 W- x R' }-t 指定配置表4 T/ g( ]& ?. n: V
-A, ––append 将规则添加到链中(最后)。5 {* r" ]! |7 I4 m% L
-I, ––insert 将规则添加到给定位置的链中。4 c9 c0 Z, c% {$ F+ W
-C, ––check 寻找符合链条要求的规则。
$ ~+ b- r6 y2 E3 Z; [8 b-D, ––delete 从链中删除指定的规则。
; Z& c3 Q+ |9 n: R+ B: O-F, ––flush 删除对应表的所有规则,慎重使用。2 k9 d* k& z# L+ @3 {- K/ r1 ]6 D
-L, ––list 连锁显示所有规则。% G4 ]% o; @% L4 j+ B+ R( v- ~+ R
-v, ––verbose 使用列表选项时显示更多信息。% y/ C1 A5 M: M7 M
-P, --policy 设置链的默认策略(policy)9 ^# T% g6 d" K2 D7 }9 d6 h
-N, --new 创建用户自定义链
3 a) h |) t; d2 w-X, --delete-chain 删除用户自定义链
: z" N8 w* H! q-E, --rename-chain 重命名用户自定义链
- @5 W/ n5 a! a/ I* t K* U. q-j target 决定符合条件的包到何处去,target模式很多% P/ y7 `( X/ Q
|
|
窥视卡
雷达卡
发表于 2023-12-1 16:35:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜