|
|
打开端口转发的功能+ f/ b- `; d0 q. K4 l0 {7 D! z
0 W& K1 j) q. \: i1 M, {
1,首先开启IP转发功能,默认是关闭的。6 E! h2 e. _. \' Z
! h5 D+ A t) V0 r临时修改:7 `; _/ d% I5 g Z: v9 @# d
/ U1 b, w5 m/ f
1
, {0 |& C6 w! z( A[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward$ ?. n5 l+ q- _. b8 @
修改过后就马上生效,但如果系统重启后则又恢复为默认值0。
/ Q0 {2 W" D: f, O" Z. Z1 E. a5 ?
9 O4 N: e* I' k永久修改:
+ x$ T9 b3 I, [, O- u. G* B7 C) j9 S( I
14 P! I" j. x; ^; z/ N
2! B9 {# m* t9 n/ \7 f
3
6 }" O( @% V) g6 |& \* R0 x4! @5 V( R5 ^ p
57 B! l4 _; A8 o4 G, s
vi /etc/sysctl.conf
8 K- x; @2 T& W7 ]; K. @4 ?/ @' a , Z9 z3 N5 b; L* p4 C. @0 T/ h
# 找到下面的值并将0改成1,如果没有该配置,直接添加- u8 U) Y! k, J3 [
2 S' b7 q+ O& Z4 ~net.ipv4.ip_forward = 16 S% R: m' y% {, \1 g# ]3 ?
# sysctl -p(使之立即生效)
& r" u5 I$ q1 Y! t- h0 I' n- U8 }* ^' F* O, N2 @! a5 g
默认值0是禁止ip转发,修改为1即开启ip转发功能。
- ~9 m B$ R/ @$ ^ T8 s6 z, r4 K8 s$ o/ b. T, I
4 u+ n8 B- {0 u3 F+ W0 z
6 X: s1 t! @/ e; r6 h( C; L& s端口转发8 p" O, W3 \- c7 q, A6 ]" f
! [1 R& l2 D/ |* ~假设用户访问本机(10.1.1.5)的3306端口时我想让它转发到10.1.1.1:3306
6 Q+ K0 Z/ X% P' C y6 }8 B3 G! l5 u" p4 ~5 j+ c6 l9 j* Y
1
# {, ~8 V5 |) T/ s! a( D, s2
! l4 I8 G% I8 p- g- g* a3
6 M* l9 e1 e9 R# t4- T! f) {, k& Q% j3 z
5
- O' T& q- \. A X% u/ W. ][root@mongo iptables]# cat iptables-open.sh
1 Z' U" d% y3 k: e3 A5 x9 l#!/bin/bash
; S7 |) z: U- C8 _" f; G 3 H: X0 B9 o2 i4 x" P
iptables -t nat -A PREROUTING -p tcp --dport 3306 -j DNAT --to 10.1.1.1:3306
% M$ P$ H2 s* [/ D" Piptables -t nat -A POSTROUTING -p tcp -d 10.1.1.1 --dport 3306 -j MASQUERADE! _+ I( l! y6 F- s% J( y
" H: U$ ]7 X- _* g1 i! g4 n% J
, T5 ~$ Q9 W Y5 g1 B* a. R" w
查看规则
9 z/ r6 o- N9 S0 A7 A% z4 p
% ~% U* X8 p$ R- I, `; @查看当前iptables的nat表内的规则% W2 ?0 ? C$ e% }
# X7 I: h& m% d+ ?" s# S/ g1
8 G$ L5 T5 n* W, Miptables -t nat -nL --line! G" \, j p b0 G* I+ u7 E( N
命令解释:
4 z! k- _$ k4 w7 N$ M; V# v5 u* M$ a* ]
1( U5 x$ M6 ?$ r- ]5 q: g
2
; U: C5 Z+ J- @0 ^0 P/ b3: H! d* e4 P9 H/ |6 P$ X1 D
4
0 |7 Y' o9 A) B+ w57 {0 s$ ]5 r/ t- Z4 Y
-t nat指定看nat表,不用-t默认为filter表( l. H: {: m, O9 W& T! R. g% F$ f: @/ N
-L 列出表内所有规则,可以指定特定链
. m/ A3 X! s6 }* @-n 使输出中的IP地址和端口以数值的形式显示
% b! I9 h" q& v' @; M2 ~; f0 t-v 输出详细化, O' c0 n. Q+ y ^+ N) F2 s8 Q2 Z9 n
--line 显示出每条规则在相应链中的序号* E5 Q& q; O* X- n _0 N" G7 [# R
0 k, h! E& B$ K5 {" b
# O8 D2 K( l) p& q ( w; T1 M+ Z) y+ D/ p
3 c" P) y. i; {( d( ]7 u 删除规则
* ^" K2 Q0 r% i3 j+ c1 k6 N3 o
7 O1 ` A' u2 N3 ?. M如果要删除PREROUTING规则,命令为
) b& E) _: F, r0 F$ K) u5 R# \
- s9 o p' `$ ]+ J+ t( F- k6 j1 |- c1
+ D* v! S" M1 U6 m" Biptables -t nat -D PREROUTING 1 # 1 代表前面的规则序号$ X+ A2 u' K- _. @2 C
如果要删除POSTROUTING规则,命令为
6 J5 J/ s$ @( ]& L* @7 ~- X b
; T. F8 U6 a: T9 w) `8 ~! B1
: ~) h2 g% w1 piptables -t nat -D POSTROUTING 5 # 5 代表前面的规则序号
9 H* a$ ^ u: ?3 @+ \: z' s3 W8 |命令解释7 G& j; P' E' [8 g' g" P& x
* _' b! ?5 |2 D, V* A1
1 ^* p1 M4 B& Z7 A: [9 ] ~9 z, R2
8 |* R% M- l3 M% |& y2 o7 x34 n5 U; \# Z7 c3 G) F6 ?7 }
4; C! o+ n) M) a
5
+ C( e" ?6 o' ]* W4 Y W; l. q3 a6
$ n4 V$ n8 u4 z- x+ @6 T0 p2 [8 M7+ K" ~! ^1 \( g6 ^ R
85 G% D @% T6 T4 P6 I
9
0 u$ ]$ \3 V( F& F" \& G10
/ w1 F! C+ u! w1 i+ w; y8 @2 I4 ~11, x$ G% k- m% T
12: p4 W; ?, x. v8 b
13
* S2 U# C) g! X8 j& S-t 指定配置表( G# _7 u/ H. |! a, I: {# l( F( r
-A, ––append 将规则添加到链中(最后)。
" V5 P* u+ [: x/ m$ L4 k/ E-I, ––insert 将规则添加到给定位置的链中。
/ k/ b _1 c9 S9 @! s7 t- T, G-C, ––check 寻找符合链条要求的规则。
; ]% R: |1 y$ V( N-D, ––delete 从链中删除指定的规则。
* B! j' Z, h1 M3 s/ I) e) [4 A-F, ––flush 删除对应表的所有规则,慎重使用。- l% w/ S% }* J% ^( O2 R5 `
-L, ––list 连锁显示所有规则。) T* Z0 G7 j8 r* y8 Y' o
-v, ––verbose 使用列表选项时显示更多信息。
: I9 d$ H0 e/ Z( `) {-P, --policy 设置链的默认策略(policy)
. C) }' x( b, ?6 {6 x% I5 v0 R-N, --new 创建用户自定义链
. V" T" \4 h5 |! w1 W-X, --delete-chain 删除用户自定义链
: O, u( g! e! g4 R% W6 e0 `-E, --rename-chain 重命名用户自定义链1 [2 [" L% O: K4 o# a3 B
-j target 决定符合条件的包到何处去,target模式很多
7 p% _# [$ Z8 @, Q/ b2 ^ |
|
窥视卡
雷达卡
发表于 2023-12-1 16:35:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜