|
|
打开端口转发的功能/ r/ c4 N8 t/ h) L: Q" { ?: |
8 r% ]( H5 t8 A* j" Q+ L1,首先开启IP转发功能,默认是关闭的。6 p6 U1 ~5 J, H$ O' X/ C+ Q
& d# {4 o% x- g# R$ n
临时修改:0 _; P& r5 u9 D7 X4 y4 w+ P: v
) B' ^4 P$ W- n5 c, k+ u. ^18 o$ L* e1 t# e' Y% ^ ~
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
: k$ @2 \1 B+ O2 S: ?2 z修改过后就马上生效,但如果系统重启后则又恢复为默认值0。8 P, V% S+ t. H8 l6 S6 G2 T4 M J3 A
* B ]: Q# B% t$ V' W
永久修改:
, R7 ?- R! A( c) k1 A/ F, j5 W8 \0 [) W6 j+ ~
1* j# m* J3 L- Z0 C9 h1 ~
28 h1 Y, K9 U4 O4 W3 E9 _% J
3
+ S7 v W. V8 J* }: J43 q" V) X* P3 v! U4 B# H/ I
52 c$ E/ _ N( j4 y" V9 C! O
vi /etc/sysctl.conf
: B* k @% [5 j0 T! K % ^ |$ A' }3 r
# 找到下面的值并将0改成1,如果没有该配置,直接添加
" i w8 ?! q3 e8 x$ s3 \) {! U7 b. B 6 E' t3 f" Q1 t3 J# H
net.ipv4.ip_forward = 1& H% `; N+ V B3 _* K
# sysctl -p(使之立即生效)
: ~+ y1 ]& H4 K8 U1 P- J
5 Q# ^" a* e- R- y& n8 w; D# [/ H默认值0是禁止ip转发,修改为1即开启ip转发功能。: Q/ }# n$ _" ~( c0 l
' p' U }) I6 }* I9 U
1 ^7 z6 B$ ^$ U6 K5 r8 x9 b# L5 {: M% _1 y
端口转发
, A' s% d1 K$ y2 Z+ b
* L9 Q" t7 O/ Z假设用户访问本机(10.1.1.5)的3306端口时我想让它转发到10.1.1.1:3306% r) ?, _. g4 a5 ` |" y* f( H0 J$ X
- p0 k/ n3 n$ `. c( D: o( ?17 M r7 N) e0 }$ M6 c0 Q
2
2 V; Y' {+ {# j8 }( i( W( H# q3
5 f/ g" I1 n7 V$ W4
A; A/ c9 q( o g- B+ t5. R7 U* D/ i7 L( @. r0 x* Q; E
[root@mongo iptables]# cat iptables-open.sh/ K6 z `: c2 {- T& ]. A! K: o: p& Y
#!/bin/bash( V; z0 u% G4 K W' o. a$ z+ |
e' n _5 N: [0 R: F8 Siptables -t nat -A PREROUTING -p tcp --dport 3306 -j DNAT --to 10.1.1.1:33060 G U" c7 q1 c4 ]& W8 o: |7 {, F! A9 R
iptables -t nat -A POSTROUTING -p tcp -d 10.1.1.1 --dport 3306 -j MASQUERADE
$ V& X$ s3 Q3 N: C; g # z' J( `, O. @, G# o
) o: u9 }, C! J6 p; g* M- b查看规则
' F, }4 k* n" d9 F$ t5 p/ @: g! \- q0 S0 B: b+ N4 S
查看当前iptables的nat表内的规则
4 a6 X% \7 G( q! c7 m
( U, \2 c1 O: a4 ]& ^4 p1
0 L0 r" |% z# O: `& A0 iiptables -t nat -nL --line
* v8 K& Y& a) H) R命令解释:
, E, l# A0 c2 Q: o( Z5 K: c6 t9 ^( R
1! A( i3 N; }1 A3 {* d+ V: M1 `% c
20 A4 l g/ l6 X* ?9 X
3# ~ _) f; a- ~ t
4
; |& J, ?( N) e' [! a2 }2 A54 y" R: S% w* ?9 v- @' G% Z
-t nat指定看nat表,不用-t默认为filter表0 f5 |+ u" Y2 t/ b
-L 列出表内所有规则,可以指定特定链( f: {+ V6 n3 u) Q8 Q, l9 `
-n 使输出中的IP地址和端口以数值的形式显示+ F! j- B/ W4 g6 C9 W C. y
-v 输出详细化# }4 T9 f: B/ x4 }
--line 显示出每条规则在相应链中的序号
e* s1 I8 x) n. C% \6 o4 t
3 }! n$ y3 k( z( H- P: ~9 j* K% I- l, Q& q6 a
. \- F+ u9 ~0 j$ W$ L' `4 P6 I3 B$ Z4 B8 B# l+ q* q. i2 p
删除规则
, J, g3 _1 D0 Q. I( I; u) Z/ ~: k3 X" p a; _
如果要删除PREROUTING规则,命令为
x' [. V8 z9 k T) H. ~
2 \1 D( }6 p# u! A! w7 j+ p+ v: C1
7 H Q" S1 b8 B, N* f* g" j# Q2 {# G! ^iptables -t nat -D PREROUTING 1 # 1 代表前面的规则序号8 a) ?8 s0 f2 Z
如果要删除POSTROUTING规则,命令为 p% h) l [+ ]; Q+ A/ I
' U: ^1 w' U. B! p+ V( E1
6 m( \' E- @1 M7 l1 [0 Riptables -t nat -D POSTROUTING 5 # 5 代表前面的规则序号5 Z5 O$ @8 T+ R0 Y Q
命令解释
0 j" a) k5 V7 K, j8 S
5 H$ k! A9 j; [6 y8 e& N1
1 U! i' [2 Y3 o8 S2
. \5 c) [$ [/ _: \) P' ^32 O# A/ l6 V9 ?( i3 n9 P9 e6 c8 m: e
4
: }. S4 v7 U6 j7 |; @8 h& v( U1 C$ [5$ K- U; X4 d4 p
6
; a' G* ?. {2 ]0 \# c% y/ n' X7$ Q7 `/ p: F5 F! H1 G$ l
8
$ G) M$ Y- d; U* A" O9 B/ B9: f: n1 t2 a0 W9 a8 o8 o" Y7 r2 s, O. a
10
0 o$ o0 s! E6 S" j1 T) c' Y3 C11: u* {* I4 ?* r, ]$ V A
12
. A+ l9 C1 k, F7 U7 | O/ Q3 V13# {, }& }$ w& \4 ?& p" X
-t 指定配置表
" i. L* N. V5 P6 K" v* ^-A, ––append 将规则添加到链中(最后)。
3 ?4 a1 B* S E% a4 Y# Z: r-I, ––insert 将规则添加到给定位置的链中。
2 N) h! I7 M' W: Y-C, ––check 寻找符合链条要求的规则。
$ C: `* N# N4 w-D, ––delete 从链中删除指定的规则。
( w( j# J* N% J5 Q V" q-F, ––flush 删除对应表的所有规则,慎重使用。6 c: c% C- V$ V. n1 ~
-L, ––list 连锁显示所有规则。. \4 }' |$ y9 o0 v2 E
-v, ––verbose 使用列表选项时显示更多信息。5 {- @5 @7 m& ]4 }
-P, --policy 设置链的默认策略(policy)4 ~$ ~1 i+ C. p) [( F/ e
-N, --new 创建用户自定义链! R& B4 r8 L( m+ r
-X, --delete-chain 删除用户自定义链
2 P- p/ f2 V5 i: n-E, --rename-chain 重命名用户自定义链% Z; Q6 u! A* f2 Z" G- S9 D
-j target 决定符合条件的包到何处去,target模式很多
- n' `* m+ Z2 i1 B8 P) s; { |
|
窥视卡
雷达卡
发表于 2023-12-1 16:35:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜