|
|
打开端口转发的功能. S* d B- V0 B! V% H6 w. O
4 a! ~; a6 w3 [' E: b( O
1,首先开启IP转发功能,默认是关闭的。
) \. m. \" |$ ~2 n! }* W8 w3 A: ~$ e
临时修改:) @# ?- m% ^3 r3 J" O
8 ^# Y1 W) d$ O4 o
1
# k3 b, j. |' s# u; Q: R% `[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
* X! F6 w+ y$ `8 N, n. C) j+ Q6 g修改过后就马上生效,但如果系统重启后则又恢复为默认值0。
; R7 a% _6 ~( R+ u. u0 r1 E) L, x9 Z' |- e7 q0 J/ m" }0 X3 N
永久修改:9 D+ y0 F' Q4 _0 k+ e( o8 Z9 ?
& r; H* d+ ]% {1 V* L0 c! ]' N
1. Q k$ x. c+ E2 M7 U! P
2
' A8 p) H( s! D7 I* ~+ E( y. |8 b8 a3* ?+ L+ g9 g0 U- T" r
4" G+ \: j4 i% g2 S- T) L3 U
5. [: ^) Q# p- y- `' a# e
vi /etc/sysctl.conf
p/ `: \7 v* t, S8 m( [: v3 _
/ g# R: s% V% p. `) L# 找到下面的值并将0改成1,如果没有该配置,直接添加
- P/ c, H9 w' J" p( }: y ' U5 a1 W* q) \0 ?# |
net.ipv4.ip_forward = 1
; n, |1 L& q0 p$ P# sysctl -p(使之立即生效)
" H" B1 Y F% {+ v# ?( O0 i/ H9 P$ k2 a
1 A3 t& ?3 C/ m& E: g) w) N* i默认值0是禁止ip转发,修改为1即开启ip转发功能。
! W5 Q' o7 W5 D) D4 [, ~; `" | G% a4 r [9 P/ f
& T8 y, x2 c' O) _: f' J( X C+ u
- {9 D# k6 O6 L6 @( Q5 n6 {
端口转发/ l7 ?4 c' c4 {2 g" v& T
" Q& L+ }. z) |假设用户访问本机(10.1.1.5)的3306端口时我想让它转发到10.1.1.1:3306
% ~1 ?+ V- y! O9 B5 \( j8 s. x5 ?% O9 _- J, i& _) J
1% A' Q6 ^4 I8 m4 L% ~
2
- S5 }6 J5 f' A2 X% A, R0 {3
, H/ V! _( n0 s+ L$ y! W4" n. G% \6 v0 b6 A
54 Z6 W$ ]0 }7 G# k
[root@mongo iptables]# cat iptables-open.sh
( g* @: U7 L2 Y, U6 G4 m#!/bin/bash% T' { }4 F/ J4 ^ {
: F; U& ^4 ?- S X1 c* Aiptables -t nat -A PREROUTING -p tcp --dport 3306 -j DNAT --to 10.1.1.1:33064 o8 C+ d# E- }: I) R2 P
iptables -t nat -A POSTROUTING -p tcp -d 10.1.1.1 --dport 3306 -j MASQUERADE
: D+ f+ ]1 m4 q0 `: ?1 C ' b7 l* r3 c8 F/ E4 N5 w$ k0 B9 K
6 `. |( Q3 ?8 B6 x+ C/ b. Z" W2 K查看规则( \' |4 u3 d0 Q- _
b( a' i! \* G9 E# y& `( R5 e查看当前iptables的nat表内的规则/ \ N( E# d8 `" F# Z
+ b- ~3 |3 N7 ]% b/ S
1
2 X9 t" u9 L+ B. fiptables -t nat -nL --line
1 ?/ d- A, f! i/ ~命令解释:6 S8 Q5 ~7 R$ X
8 Q8 K U& r: j; G& q1
, F4 W' e" t: I1 L23 D3 B7 N. P# v+ O
3# L( M G0 H7 m
4
: v2 q' V! i3 ?: B4 K- L& W5
: r0 C% V: K) t5 Z) G-t nat指定看nat表,不用-t默认为filter表
7 ]# S' L1 m* \. P# l9 X-L 列出表内所有规则,可以指定特定链
" X( A+ F+ D9 t2 Q7 }-n 使输出中的IP地址和端口以数值的形式显示
( \1 H, v; C% t% |9 |6 p-v 输出详细化
3 q W" w; z9 y9 D--line 显示出每条规则在相应链中的序号. o' Q3 Z6 l. h) D
6 b# s/ l, K+ @! ]6 f
( X1 n. w1 Z6 C" H0 u' ?
0 E, c) U: o) f) C/ L5 V- n+ j( X6 \% w. T4 V8 U
删除规则4 y1 C+ C4 r, ]0 Q# F2 I t
" Y2 V3 ~1 E+ a* s2 b如果要删除PREROUTING规则,命令为0 a' G g; s7 ~: T+ g
, ^" C' F- s1 j2 D9 h& \/ H3 J1
8 s: m! ?# i# @. @4 E6 O3 m ]( {iptables -t nat -D PREROUTING 1 # 1 代表前面的规则序号/ a7 o! Y% p1 v7 y. y4 q ^
如果要删除POSTROUTING规则,命令为/ k5 r# {! q6 ?# _$ u2 t) R; C6 m
, k9 S: E: \" K' r; Q& P
1. |% x' D- K: ~3 c$ Z5 N
iptables -t nat -D POSTROUTING 5 # 5 代表前面的规则序号
* h9 }( l9 f" B命令解释0 H$ n% J) ~8 t" b- |
/ N9 T* e! q1 p/ m
1& A; K& s+ N" l9 i
2
; @9 h# {% C" }; E8 `# o3' i' r0 k6 f% p( ^6 U+ e
48 ]& w' M" c1 Y3 }& x
5# T9 e8 T; R8 V% s
6
_( u& N O, y7 f7 \0 s7 ?' E v7% _. P5 b, k$ L6 Y: P
8
8 J( A5 ^" d: F. m9
t9 \! A6 V' b. M1 g( V! i }10
; Q& Q. ]" M5 [: _( g# A11/ m* z% h* S" {( H" V. x. A9 @
12
4 y: `5 U$ E) F+ r% i138 ^- |: F8 {. x ]( w8 o
-t 指定配置表
# d$ ]. U4 U' o- k; H-A, ––append 将规则添加到链中(最后)。% b5 g/ ^: x/ L* C
-I, ––insert 将规则添加到给定位置的链中。8 o! K! C9 ^5 @0 _. o; w
-C, ––check 寻找符合链条要求的规则。
! T+ C9 L V8 Q4 B3 `% `8 `8 ]-D, ––delete 从链中删除指定的规则。
, Q! c* [' c, M! D4 }( P% y) P-F, ––flush 删除对应表的所有规则,慎重使用。9 R9 T! Q& q; A/ f* T
-L, ––list 连锁显示所有规则。
K% q0 G5 p+ y/ W' w! {4 w-v, ––verbose 使用列表选项时显示更多信息。6 N0 a2 p, G) f+ n/ ]7 D- q8 j8 ^
-P, --policy 设置链的默认策略(policy). K$ j- [# H- d6 e6 m& Q. V6 H
-N, --new 创建用户自定义链& F y" ^) {) q/ C5 s$ }" o
-X, --delete-chain 删除用户自定义链
/ c. L4 q a3 b2 o* R6 G-E, --rename-chain 重命名用户自定义链* p/ U% e3 g' x0 _# v- O
-j target 决定符合条件的包到何处去,target模式很多
$ C! A* B) o0 E. w# z5 \. P |
|
窥视卡
雷达卡
发表于 2023-12-1 16:35:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜