linux学习第三十篇：iptables filter表小案例，iptables nat表应用

iptables filter表小案例

案列：只针对filter表，预设策略INPUT链DROP，其他两个链ACCEPT，然后针对192.168.188.0/24开通22端口，对所有网段开放80端口，对所有网段开放21端口。

脚本内容：

#! /bin/bash
ipt="/usr/sbin/iptables"  //命令的绝对路径，防止因为环境变量的问题导致命令无法执行
$ipt -F    //清空规则
$ipt -P INPUT DROP  //默认策略
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   //目的是为了让通信更加顺利
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT 
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT  

icmp示例，这里–icmp-type选项要跟-p icmp一起使用，后面指定类型编号。这个8指的是能在本机ping通其他机器，而其他机器不能ping通本机 iptables -I INPUT -p icmp –icmp-type 8 -j DROP

iptables nat表应用

nat表应用 A机器两块网卡ens37(192.168.202.129)、ens33(192.168.100.1)，ens37可以上外网，ens33仅仅是内部网络，B机器只有ens33（192.168.100.100），和A机器ens33可以通信互联。 需求1：可以让B机器连接外网

1. 给两台虚拟机添加一块新的网卡
2. A和B给新的网卡设置为LAN区段

这里写图片描述

添加自定义名字

这里写图片描述

A和B都选择LAN区段

这里写图片描述

1. A机器命令行添加ip（重启后会失效，如果想永久生效就配置文件）

这里写图片描述

1. 给另一台B机器的内网网卡添加ip（ifconfig ens33 192.168.100.100/24）

这里写图片描述

1. 两台机器的内网网卡可以互相ping通，此时A和B可以互相通信，但是A可以上网，B不可以上网。

这里写图片描述

这里写图片描述

1. A机器上打开路由转发 echo “1”>/proc/sys/net/ipv4/ip_forward。这个文件的内容默认是0，要想使用nat表，网络的转发，就必须修改内核参数，所以需要把该文件内容改为1。
2. A上执行添加规则iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE，这条规则就是让192.168.100.0这个网段可以上网
3. B机器上设置网关为192.168.100.1。命令：route add default gw 192.168.100.1。设置完后B机器可以ping通A机器的公网IP即ens37网卡的IP地址
4. 给B机器设置DNS。编辑DNS配置文件/etc/resolv.conf。在配置文件中添加一行nameserver 119.29.29.29。保存退出后就可以上网了，如果不行，可以用命令：systemctl stop iptables关闭防火墙，因为防火墙会干扰。

需求2：C机器只能和A通信，让C机器可以直接连通B机器的22端口

1. A上打开路由转发echo “1”>/ proc/sys/net/ipv4/ip_forward，因为上面已经做过，所以可以不做。
2. A机器上执行iptables -t nat -A PREROUTING -d 192.168.202.129 -p tcp –dport 1122 -j DNAT –to 192.168.100.100:22，规则的意思就是比如windows本机IP是192.168.202.1，它的目标IP是192.168.202.129，目标端口是1122，然后端口转发，把它转发到IP为192.168.100.100的22端口，这是进去的包。 执行之前先把之前的规则清除，以免影响，iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens37 -j MASQUERADE，用D参数删除。
3. A机器上执行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT –to 192.168.202.129，从192.168.100.100回来的包经过A机器再做一个SNAT操作，把目标地址改成192.168.202.129，这个目标地址是在我们A机器上往外发出去的源IP，回到window机器上时才能识别，知道是哪个机器的过来的。
4. 给B机器加上网关。命令：route add default gw 192.168.100.1。上面已经做过，所以可以省略。弄完之后原本不可以远程连接的B机器，现在可以通过远程连接A机器的公网IP：192.168.202.129的1122端口来连接B机器。

扩展 1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html 2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html 3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html