保护防火墙的规则
iptables-save > 保存规则的文件 #保存规则 iptables-restore < 保存的规则文件 #重新导入规则 iptables-save > /data/iptables_rule #输出重定向生成备份文件 iptables-restore </data/iptables_rule #输出重定向导入配置 # 放到下面三个文件下。建议放在rc.local下,其他两个需要登录才能生效 ~ /.bashrc vim /etc/profile vim /etc/rc.d/rc.local chmod +x /etc/rc.d/rc.local
IPtables-services
yum -y install iptables-services
cp /etc/syscnfig/iptables{,.bak} #保存现在的规则到文件中方法1
/usr/libexec/iptables/iptables.init save #保存现在的规则到文件中方法2
iptables-save > /etc/sysconfig/iptables #开启启动
enable iptables.servic
systemctl mask firewalld.service nftables.service
自定义链
类似函数,将类型相同的 规则 放入一个自定义链中
-N :new #自定义一条新的规则链 -E #重命名自定义链:引用计数不为0的自定义链不能够被重命名,也不能删除 -X :delete #删除自定义的空的规则链 -P :policy #设置默认策略
删除必须清空所有规则才可以删除
NAT
网关服务器开启路由功能
请求报文:修改源/目标IP,
响应报文:修改源/目标IP,根据跟踪机制自动实现
NAT的实现分为下面类型
SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP
DNAT:destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP
sysctl -a #列出所有的内核参数 sysctl -a | grep forward #过滤 看到默认的内核参数 /etc/sysctl.conf #内核参数配置文件 sysctl -p #改完文件后重新生效
SNAT
让内网可以访问外网
#给28 网关服务器添加个网络设备器
#过滤出默认内核参数。显示0
#编辑配置文件
#将默认内核参数改成=1
#读取修改后的配置
#切换路径.查看下是否有两个网络
#复制ifcfg-ens33 到当前目录下 取名为ifcfg-ens36
#修改ens36网络,将IP地址改为外网网段。网关和dns删除
#修改ens33 网络,将网关和dns删除
#重启网络,ens36ip已变成外网IP
#29服务器安装个httpd
#开启httpd
#将IP地址和网关改成12网段
#重启网络,我的xshell会断开连接。
#在内网中安装个httpd
#开启httpd
#内网网关改成网关服务器的IP地址
#重启网络
#内网连接外网
#在外网上查看日志,有内网IP连接
#给内网加个规则,将源地址为192.168.19.0段的私网地址全部转化文网关地址
#内网再次连接外网
#日志接受个新的IP
DNAT
让外网可以访问内网
#基于上述实验,将网关服务的规则snat规则删掉
#去内网监测httpd日志
#在nat表里,PREROUTING链里添加规则,监测路由之前的数据流量,只要有从ens36网络流进来的流量 ,并且来访问我的HTTP服务的80端口,那我就要跳转到DNAT,且转换我的内网IP地址。后面可改端口号,默认80.
#去外网连接内网
#内网日志监测到有外网连接。