防火墙之iptables流量控制

已于 2024-06-09 08:28:21 修改
阅读量367 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: 学习
于 2019-08-15 07:44:07 首次发布
^_^ ^_^ ^_^
本文链接:https://blog.csdn.net/Michael_lcf/article/details/99619679
本文详细介绍如何使用iptables配置路由转发及PNAT功能,包括主机间路由转发设置、iptables规则应用,以及通过PNAT实现数据库访问。适用于网络管理与安全控制场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防火墙之iptables和firewalld的前世今生.
防火墙之iptables详解.
防火墙之iptables流量控制.

防火墙之iptables控制流量

1、ip_forward 路由转发功能

当公司内部只有一台主机A可以访问外网,其他主机B、C、D …等都需要通过主机A转发上网的小功能。

1.1、配置 主机D:192.168.168.133 不能访问其他网段

因为我是在VM虚拟机上实验,需要以下基本环境配置。

1.查询默认网关路由
ip route
---------------------------
default via 192.168.168.1 dev ens160 proto static metric 100 
192.168.168.0/24 dev ens160 proto kernel scope link src 192.168.168.133 metric 100

2.删除默认网关路由
ip route del default via 192.168.168.1 dev ens160 proto static metric 100

3.测试外网:网络不通。
ping www.baidu.com
---------------------------
ping: www.baidu.com: Name or service not known

1.2、配置 主机A:192.168.168.100 转发功能

1.开启内核的转发功能。
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

2.配置iptables规则,允许 ens32 接口进行转发。
# 放行Forward的数据包
iptables -I FORWARD -i ens32 -j ACCEPT
# 开启网卡混杂模式(允许任意流向的数据包)
iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE

1.3、配置 主机D:192.168.168.133 其他网段报文交给主机A

1.配置其他网段报文默认网关路由
route add -net 0.0.0.0/0 gw 192.168.168.100

2.测试外网:网络已通。
ping -c 2 www.baidu.com
---------------------------
PING www.a.shifen.com (39.156.66.14) 56(84) bytes of data.
64 bytes from 39.156.66.14 (39.156.66.14): icmp_seq=1 ttl=127 time=21.2 ms
64 bytes from 39.156.66.14 (39.156.66.14): icmp_seq=2 ttl=127 time=20.9 ms

--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 20.861/21.051/21.242/0.190 ms

2、PNAT 转发功能

使用PNAT转发功能 通过 主机A 访问 主机D上的数据库

2.1、配置主机APNAT

1.放行Forward的数据包
iptables -I FORWARD -i ens32 -j ACCEPT

2.开启网卡混杂模式(允许任意流向的数据包)
iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE

3.访问192.168.168.100:63306的TCP流量NAT到192.168.168.133:3306
iptables -t nat -A PREROUTING -d 192.168.168.100 -p tcp --dport 63306 -j DNAT --to-destination 192.168.168.133:3306
iptables -t nat -nvL

4.记得保存规则哦
service iptables save

在整个配置过程中没有配置准入的filter 规则,但是也能通。是因为匹配的顺序是先匹配 nat 表,然后再匹配 filter 表,当 nat 表命中后就转发走了,所以不用插入 filter 的规则。

2.2、测试功能 O(∩_∩)O哈哈~

Linux系统防火墙IPTables
没有网络安全就没有国家安全
08-23 919
本篇文章详细讲解Linux防火墙IPTables,包含基础用法和进阶用法
【LinuxShell】linux防火墙iptables防火墙
一个萌新的博客
05-17 862
iptables防火墙增删改查等操作
使用iptables限制流量请求
12-21
使用iptables限制流量请求,使用iptables限制流量请求,使用iptables限制流量请求
iptables 流量速率控制
m0_37313888的博客
06-05 2000
在filter表下面一行增加以下两行 iptables -A FORWARD -m limit -d 192.168.10.2 --limit 30/sec -j ACCEPT # 这句意思是限定每秒只转发30个到达192.168.10.2的数据包 iptables -A FORWARD -d 192.168.10.2 -j DROP #这句作用是超过限制的到达192.168....
在Linux中,Iptables能做什么?
最新发布
努力变的更强
06-21 990
访问控制:允许/拒绝特定流量。NAT功能:实现私有网络与公网的通信。安全防护:防止网络攻击,如 SYN Flood 和端口扫描。负载均衡:将流量分发到多个后端服务器。透明代理:将流量重定向到代理服务器。数据包修改:修改 TTL/IP地址。连接跟踪:根据连接状态进行操作。流量统计与监控:记录和分析流量信息。带宽限制:控制特定流量的带宽。
使用iptables进行流量控制
Hi~ o(* ̄▽ ̄*)ブ
07-09 4595
systemctl管理iptables服务,yum remove iptables yum install iptables-services 保存规则的两种方式: service iptables save /usr/libexec/iptables/iptables.init save iptables -A INPUT -m limit -s 192.168.3.1...
iptables学习总结
weixin_33691700的博客
10-10 113
一、iptables基础1、容器:包含或者说属于的关系2、Netfilter/iptables是表的容器,iptables包含的各个表(filter,NAT,MANGLE,RAW)3、iptables的表tables又是链的容器链chains:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING4、链chains是规则容器:5、规则Pol...
再谈防火墙流量控制
cxw06023273的博客
01-10 2984
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: [email protected] 来源:http://yfydz.cublog.cn [code="java"]1. 前言 流量控制是几乎任何防火墙都具备的功能,但各种防火墙流量控制的实现各种各样,能实现的控制能力也各有千秋,本文介...
《Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables防火墙
w1251427056的博客
05-21 909
防火墙分为两大类:硬件防火墙和软件防火墙
安全技术、防火墙iptables
sea_bunch的博客
02-18 1312
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
用tc+iptables+HTB解决ADSL宽带速度瓶颈技术
weixin_34405925的博客
02-11 264
自己写的tc2,共享给大家,希望听听大家的高见,以待完善.觉得好的,就帮忙顶一下,以便更多的人共同探索,发现问题,解决问题,总结问题.谢谢. 代码: #!/bin/bash #脚本文件名: tc2 ###############################################################################...
iptables 学习总结--操作以及规则查找(二)
纵横四海的博客
06-02 978
查看raw mangle nat filter 其中的某张表的链的信息 例如查看表filter中INPUT链的规则 [root@localhost ~]# iptables -t filter -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination AC...
防火墙小试——部分(书接上回)流量控制
aimnr的博客
07-16 438
对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M 销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M 移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
防火墙流控配置 基于主机的带宽控制】
yuxue_cn的博客
06-21 962
防火墙流控功能配置,基于主机制定流控策略
iptables 限制流量
enchen的专栏
02-26 947
首先我們先新增兩條rule iptables -A FORWARD -s 192.168.0.1 -j ACCEPT iptables -A FORWARD -d 192.168.0.1 -j ACCEPT 我們內部有一個Nat的環境使用的IP範圍是192.168.0.0/24 要監控192.168.0.1這個ip的流量 首先我們先新增兩條rule iptables -A FORWARD -s
TC(HTB) iptables流量控制
weixin_33860528的博客
11-13 323
TC(HTB) iptables流量控制 TC(HTB) iptables流量控制 TC(HTB) iptables流量控制 一、环境和要求: 线路:ADSL:2M/512K eth0:10.0.0.136,外网口 eth1:192.168.1.1,内网口 业务需求:保证正常的网页浏览,FTP,SMTP,POP3,对其它的所有应用加以限制,以免...
防火墙之流量管理
晚风挽着浮云的博客
06-03 2043
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙流量管理
m0_63197559的博客
05-24 1130
流量匹配带宽策略后进入带宽通道,带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道通过以下方面来对带宽资源进行限制,包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记等。此外,带宽通道还可以实现带宽资源的闲时复用。整体的保证带宽和最大带宽:进入带宽通道的流量可获得的最小带宽资源和最大带宽资源。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值