|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!明天新来了一台办事器,要做跳板机,把之前的代码粘贴复制,成果成绩来了,怎样也转发不了,
百思不明,后来只好一点点查找。起首查找收集,
发明收集没有成绩,内网外网,双网卡网关均没有成绩,
因而只好百度搜刮成绩,捉住基本这里是我找到的对本身很有效的文章就贴了出来,供往后再涌现如许的成绩,以用来处理。
CentOS下设置装备摆设iptables防火墙
linuxNAT(iptables)设置装备摆设
CentOS下设置装备摆设iptables
1,vim/etc/sysconfig/network这里可以更改主机称号。
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=BGI-TJ.localdomain
GATEWAY=192.168.11.1(超算网关)
2.vim/etc/sysconfig/network-scripts/ifcfg-eth0第一块网卡。
BroadcomCorporationNetXtremeIIBCM5709GigabitEthernet
DEVICE=eth0
BOOTPROTO=static
HWADDR=A4:BA:DB:43:XX:XX
IPADDR=192.168.11.2(公网地址)
NETMASK=255.255.255.0
ONBOOT=yes
GATEWAY=192.168.11.1(可不设后面曾经设置)
3.vim/etc/sysconfig/network-scripts/ifcfg-eth1网卡2,就是内网
#BroadcomCorporationNetXtremeIIBCM5709GigabitEthernet
DEVICE=eth1
BOOTPROTO=static
HWADDR=A4:BA:DB:43:XX:XX
IPADDR=192.168.136.1(内网地址)
NETMASK=255.255.255.0
ONBOOT=yes
4.vim/etc/sysctl.conf这里是重点设置装备摆设路由转发,路由开启等都要用到。
#ControlsIPpacketforwarding
net.ipv4.ip_forward=0
修正为
#ControlsIPpacketforwarding
net.ipv4.ip_forward=1许可内置路由
5.sysctl-p更新
6.servicenetworkrestart从启网卡
7,假如找不到另外一块网卡可以改加载。
http://www.cngr.cn/article/63/390/2006/2006071812486.shtml
/etc/network/interfaces两块网卡的内容可以编纂
autoeth0
ifaceeth0inetstatic
address192.168.18.2
netmask255.255.255.0
network192.168.18.0
gateway192.168.18.1
autoeth1
ifaceeth1inetstatic
address172.17.94.93
netmask255.255.255.0
broadcast172.17.94.255
gateway172.17.94.254
默许是第一块网卡,可以设置两块同时开启
8.iptables-F
9.iptables-tnat-APOSTROUTING-s192.168.136.0/24-oeth0-jSNAT--to192.168.11.2转发到11网段。
10./etc/rc.d/init.d/iptablessave或许serviceiptablessave
11.serviceiptablesrestart
12.假如发明DNS没法解析,请输出以下敕令防火墙的成绩不消想。先都经由过程在依据设置装备摆设更改。
iptables-PFORWARDACCEPT
iptables-POUTPUTACCEPT
iptables-PINPUTACCEPT
/etc/rc.d/init.d/iptablessave
serviceiptablesrestart
iptables-AINPUT-ilo-jACCEPT
iptables-AFORWARD-ptcp--dport80-jACCEPT
iptables-AFORWARD-ptcp--dport22-jACCEPT
iptables-AFORWARD-ptcp--dport53-jACCEPT
iptables-AFORWARD-pudp--dport53-jACCEPT
iptables-AFORWARD-ptcp--dport25-jACCEPT
iptables-AFORWARD-ptcp--dport110-jACCEPT
iptables-AFORWARD-pudp--dport110-jACCEPT
iptables-AFORWARD-ptcp--dport143-jACCEPT
iptables-AFORWARD-pudp--dport143-jACCEPT
iptables-AFORWARD-ptcp--dport993-jACCEPT
iptables-AFORWARD-pudp--dport993-jACCEPT
iptables-AFORWARD-ptcp--dport995-jACCEPT
iptables-AFORWARD-pudp--dport995-jACCEPT
serviceiptablessave
serviceiptablesrestart
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-ilo-jACCEPT
iptables-AFORWARD-ptcp-jACCEPT
iptables-AFORWARD-pudp-jACCEPT
iptables-AFORWARD-ptcp--dport1:65534-jACCEPT
serviceiptablessave
serviceiptablesrestart
sysctl-p
servicenetworkrestart
iptables-F
iptables-tnat-APOSTROUTING-s192.168.*.*/24-oeth0-jSNAT--toip地址。
iptables-PFORWARDACCEPT
iptables-POUTPUTACCEPT
iptables-PINPUTACCEPT
serviceiptablessave
serviceiptablesrestart
iptables-AINPUT-ilo-jACCEPT
iptables-AFORWARD-ptcp--dport1:65534-jACCEPT
iptables-AFORWARD-pudp--dport1:65534-jACCEPT
serviceiptablessave
serviceiptablesrestart
默许为:
iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTACCEPT
会影响很多功效的应用。
就是ip跳板,从一个ip调到你想给人人应用的机械(屏障你不想直接用的口)端口镜像
iptables-tnat-APREROUTING-dx.x.x.x(公网IP)-ptcp--dport2200(端标语)-jDNAT--to192.168.3.202:22(内网ip:内网IP端口)NAT默许路由iprouteadd192.168.6.0/24via192.168.11.2
或许加一条网关默许给你想跳的ip网段iprouteadd-net192.168.6.0/24gw192.168.11.1
deveth0(谁人网卡必需能与你想跳的收集通)好比192.168.11.0/24与192.168.6.0/24互通。
说了这么多人人老手很懵懂是吧呵呵。上面我们来理论一下吧。
1.预备任务
1.1CentOSFinal装置终了,将不须要的办事停滞
1.2修正主机名:
1.2.1/etc/sysconfig/network
1.2.2/etc/hosts
1.3网卡设置
1.3.1单个IP/etc/sysconfig/network-scripts/ifcfg-eth0
1.3.2IP段
#cd/etc/sysconfig/network-scripts/
#cp-aifcfg-eth0ifcfg-eth0-range0
#viifcfg-eth0-range0
DEVICE=eth0-range0
IPADDR_START=192.168.136.2#设置地址段的肇端IP
IPADDR_END=192.168.136.100#设置地址段的停止IP
GATEWAY=192.168.136.1
NETMASK=255.255.255.0
CLONENUM_START=”20”#设置虚拟接口(CLONEC克隆)的肇端“编号”在本例中,将从20开端,21,22,23……
NO_ALIASROUTING=yes#该选项可以设置在主设置装备摆设文件中(ifcfg-eth0)
#虚拟接口可以继续主设置装备摆设文件中的设置,其感化是防止虚拟接口在重新界说路由信息,招致路由拜访迟缓的成绩。
1.2.3敕令方法
ipaddradd192.168.136.0/24dev$OUTGOING
1.4路由设置
1.4.1
#vi/etc/sysconfig/static-routes
eth0(装备名)net(收集地址)192.168.0.0(子网)netmask255.255.255.0(网关地址)gw192.168.0.1
a./usr/sysconfig/network-scripts/route-eth0
10.0.2.0/24via192.168.0.144
10.0.3.0/24via192.168.0.144
10.0.4.0/24via192.168.0.144
1.4.2给体系主路由表设置装备摆设网关,这个网关是电信的网关
iprouteadd0/0via22.22.22.1
1.4.3添加路由规矩,让一切通向网通的数据查询标示为11的路由表,增长一个网通供给的默许网关。
iprouteadd0/0via11.11.11.1table11
ipruleaddto60.0.0.0/13table11
ipruleaddto60.8.0.0/15table11
ipruleaddto60.10.0.0/16table11
要留意的是,在设置装备摆设网卡的时刻,先不要设置装备摆设网关,不要应用老的ifconfig敕令来设置装备摆设网关,而要应用iproute2来设置装备摆设网关,不然会形成抵触,或许应用iproutereplace敕令来调换
iprouteadd敕令。
1.5转发设置
/etc/sysctl.conf
#ControlsIPpacketforwarding
net.ipv4.ip_forward=1
net.ipv4.netfilter.ip_conntrack_max=1048576
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=300
1.6resolv.conf
nameserver10.0.0.1
2.iptables设置装备摆设
2.1iptables初始化
iptables-tnat-F
iptables-F
iptables-X
iptables-PINPUTACCEPT
iptables-PFORWARDACCEPT
iptables-POUTPUTACCEPT
iptables-NNEWCONN
2.2NAT转换
2.2.1起首将从两个WAN口出去的数据包停止IP假装masquerade,重要是不让对面晓得你来自于哪里。
/sbin/iptables-tnat-Apostrouting-oeth1-jmasquerade
/sbin/iptables-tnat-Apostrouting-oeth2-jmasquerade
2.1.2SNAT转换收集。
iptables-tnat-APOSTROUTING-s外部IP地址/子网-o$OUTGOING-jSNAT--to$IPPOOL
2.1.3一个网段的电信网通主动切换
iptables-tnat-IPOSTROUTING-s192.168.0.0/24-d$电信ip-jSNAT--to222.168.1.3
***
***
***
iptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to218.62.3.3
2.1.4拜访222.222.5.0/15和222.240.0.0/13走电信,其他默许网通
#echo"200DIANXIN">>/etc/iproute2/rt_table(这个是添加到文件,履行一次便可)
#iproutereplacedefaultvia222.168.1.2tableDIANXIN
#ipruleaddfwmark1tableDIANXIN(这个留意次序,用iprule可以检查)
#iptables-tnat-F
#iptables-tmangle-F
#iptables-tmangle-APREROUTING-ieth0-s192.168.0.0/24-d222.222.5.0/15-jMARK--set-mark1
#iptables-tmangle-APREROUTING-ieth0-s192.168.0.0/24-d222.240.0.0/13-jMARK--set-mark1
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-d222.222.5.0/15-jSNAT--to$DIANXIN
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-d222.240.0.0/13-jSNAT--to$DIANXIN
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to$接网通线路网卡的地址
#iprouteflushcache
2.1.6添加类似路由
if["$ALLOW_ACCESS_CLIENT"!=""];then
forLANin${ALLOW_ACCESS_CLIENT};do
{
iptables-AFORWARD-ptcp-mmultiport-s${LAN}-o$ETH_WAN--dport$PORT-jACCEPT
iptables-AFORWARD-pudp-mmultiport-s${LAN}-o$ETH_WAN--dport$PORT-jACCEPT
iptables-AFORWARD-ptcp-mmultiport-i$ETH_WAN--sport$PORT-jACCEPT
iptables-AFORWARD-pudp-mmultiport-i$ETH_WAN--sport$PORT-jACCEPT
}
done
fi
2.3保留
iptables-save-c>/etc/sysconfig/iptables
1.5转发设置
/etc/sysctl.conf
#ControlsIPpacketforwarding
net.ipv4.ip_forward=1
net.ipv4.netfilter.ip_conntrack_max=1048576
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=300
2.iptables设置装备摆设
2.1iptables初始化
iptables-tnat-F
iptables-F
iptables-X
iptables-PINPUTACCEPT
iptables-PFORWARDACCEPT
iptables-POUTPUTACCEPT
iptables-NNEWCONN
2.2NAT转换
2.2.1起首将从两个WAN口出去的数据包停止IP假装masquerade
/sbin/iptables-tnat-Apostrouting-oeth1-jmasquerade
/sbin/iptables-tnat-Apostrouting-oeth2-jmasquerade
2.1.2SNAT
iptables-tnat-APOSTROUTING-s外部IP地址/子网-o$OUTGOING-jSNAT
--to$IPPOOL
2.1.3一个网段的电信网通主动切换
iptables-tnat-IPOSTROUTING-s192.168.0.0/24-d$电信ip-jSNAT
--to222.168.1.3
***
***
***
iptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to
218.62.3.3
2.1.4拜访222.222.5.0/15和222.240.0.0/13走电信,其他默许网通
#echo"200DIANXIN">>/etc/iproute2/rt_table(这个是添加到文件,执
行一次便可)
#iproutereplacedefaultvia222.168.1.2tableDIANXIN
#ipruleaddfwmark1tableDIANXIN(这个留意次序,用iprule可以查
看)
#iptables-tnat-F
#iptables-tmangle-F
#iptables-tmangle-APREROUTING-ieth0-s192.168.0.0/24-d
222.222.5.0/15-jMARK--set-mark1
#iptables-tmangle-APREROUTING-ieth0-s192.168.0.0/24-d
222.240.0.0/13-jMARK--set-mark1
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-d
222.222.5.0/15-jSNAT--to$DIANXIN
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-d
222.240.0.0/13-jSNAT--to$DIANXIN
#iptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to$接
网通线路网卡的地址
2.3保留
iptables-save-c>/etc/sysconfig/iptables
#――+――+――+――+――+――+――+――+――+――+――+――+――+――
在CentOS下设置装备摆设iptables防火墙,长短常需要的。来我们进修若何设置装备摆设!
我的博客中有提到防火墙绝提设置装备摆设哦。
在Linux中设置防火墙,以CentOS为例,翻开iptables的设置装备摆设文件:
vi/etc/sysconfig/iptables
经由过程/etc/init.d/iptablesstatus敕令查询能否有翻开80端口,假如没有可经由过程两种方法处置:
1.修正vi/etc/sysconfig/iptables敕令添加使防火墙开放80端口
-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport80-jACCEPT
2.封闭/开启/重启防火墙
/etc/init.d/iptablesstop
#start开启
#restart重启
3.永远性封闭防火墙
chkconfig--level35iptablesoff
/etc/init.d/iptablesstop
iptables-PINPUTDROP
4.翻开自动形式21端口
iptables-AINPUT-ptcp--dport21-jACCEPT
5.翻开主动形式49152~65534之间的端口
iptables-AINPUT-ptcp--dport49152:65534-jACCEPT
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT
留意:
必定要给本身留好后路,留VNC一个治理端口和SSh的治理端口
须要留意的是,你必需依据本身办事器的情形来修正这个文件。
全体修正完以后重启iptables:
serviceiptablesrestart
你可以验证一下能否规矩都曾经失效:
iptables-L
经由过程文章的引见,我们清晰的晓得了CentOS下设置装备摆设iptables防火墙的进程,愿望人人都能控制它!好勤学习,黄金万两不如一无所长。
欢迎大家来到仓酷云论坛! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 20:46:54
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-1-25 17:14:17