七周四次课

相关命令：

 

ifconfig ens37 10.18.17.100    #设置ens37网卡的ip为10.18.17.100

route –n      #查看网关信息

route add default gw 10.18.17.1     #设置网关

 

1、  iptables  filter表小案例：

 

iptables小案例：

vi /usr/local/sbin/iptables  \\加入如下内容

#! /bin/bash

ipt=”/usr/sbin/iptables”

$ipt –F

$ipt –P INPUT DROP

$ipt –P OUTPUT ACCEPT

$ipt –P FORWARD ACCEPT

$ipt –A INPUT –m state –state RELATED,ESTABLISHED–j ACCEPT

$ipt –A INPUT –s 192.168.142.0/24 –p tcp –dport22 –j ACCEPT

$ipt –A INPUT –p tcp –dport 80 –j ACCEPT

$ipt –A INPUT –p tcp –dport 21 –j ACCEPT

 

icmp示例：

iptables –I INPUT –p icmp --icmp-type 8 –j DROP    #禁止外部机器ping本机

 

 

iptables nat应用：

 

A机器两块网卡ens33（192.168.142.130）、ens37（192.168.100.1），ens33可以上外网，ens37仅仅是内部网络，B机器只有ens37（192.168.100.100），和A机器ens37可以通信互联。

 

需求1：可以让B机器连接外网

A机器上打开路由转发echo”1”>/proc/sys/net/ipv4/ip_forward

A上执行iptables –t nat –APOSTROUTING –s 192.168.100.0/24 –o ens33 –j MASQUERADE

B上设置网关为192.168.100.1

 

需求2：C机器只能和A通信，让C机器可以直接连通B机器的22端口

A上打开路由转发echo “1”>/proc/sys/net/ipv4/ip_forward

A上执行iptables –t nat –APOSTROUTING –d 192.168.142.130 –p tcp –dport 1122 –j DNAT --to 192.168.100.100:22

A上执行iptables -t nat –APOSTROUTING –s 192.168.100.100 –j SNAT --to 192.168.142.130

B上设置网关为192.168.100.1