51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何把iptables外网端口全部映射到内网一台主机上

作者:314628032
运维 系统运维
我们在搭建外网的同时,想和内网连接,就需要用到iptables,用它把外网端口映射到内网上,这样网络就通了,让我们来来具体的操作过程!

利用iptables外网端口全部映射内网一台主机上,有具体的操作过程:

  etc/init.d/iptables start 启动iptables

  初始化iptables,删除之前的规则,

  iptables -F

  iptables -X

  iptables -Z

  iptables -F -t nat

  iptables -X -t nat

  iptables -Z -t nat

  允许SSH进入,要不然等下就连不上去了

  iptables -A INPUT -p TCP --dport 22 -j ACCEPT

  设置默认出入站的规则

  iptables -P INPUT DROP

  iptables -P OUTPUT ACCEPT

  iptables -P FORWARD ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  载入相应的模块

  modprobe ip_tables

  modprobe iptable_nat

  modprobe ip_nat_ftp

  modprobe ip_conntrack

  modprobe ip_conntrack_ftp

  配置默认的转发规则

  iptables -t nat -P PREROUTING ACCEPT

  iptables -t nat -P POSTROUTING ACCEPT

  iptables -t nat -P OUTPUT ACCEPT

  允许内网连接

  iptables -A INPUT -i 内网网卡名(比如eth1) -j ACCEPT

  启用转发功能

  echo "1" > /proc/sys/net/ipv4/ip_forward

  配置源NAT,允许内网通过主机nat上网,即所谓的网络共享

  iptables -t nat -A POSTROUTING -s 内网网卡名 -o 外网网卡名 -j MASQUERADE

  把FTP服务器映射到外网

  iptables -t nat -A PREROUTING -p tcp -d 58.222.1.3 --dport 21 -j DNAT --to 192.168.0.211:21

  结束,别忘了保存

  service iptables save

  192.168.0.211的网关应该设成这成主机192.168.0.1。这样就行了。iptables -t nat -A PREROUTING -d XXX.XXX.XXX.XXX -p tcp --dport 8767 -j dnat --to 192.168.1.3:?? OUTPUT 二个 chain 作用。

  iptables -A INPUT -i eth1 -j ACCEPT

  iptables -A OUTPUT -o eth1 -j ACCEPT

  iptables -A FORWARD -i eth1 -j ACCEPT

  iptables -A FORWARD -o eth1 -j ACCEPT

#p#

  IP 伪装

  使内部网路的封包经过伪装之后,使用对外的 eth0 网卡当作代表号,对外连线。作法如下∶

  ###-----------------------------------------------------###

  # 启动内部对外转址

  ###-----------------------------------------------------###

  iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

  上述指令意指∶把 172.16.0.0/16 这个网段,伪装成 $FW_IP 出去。

  虚拟主机

  利用转址、转 port 的方式,使外部网路的封包,可以到达内部网路中的伺服主机,俗称虚拟主机。这种方式可保护伺服主机大部份的 port 不被外界存取,只开放公开服务的通道(如 Web Server port 80),因此安全性甚高。

  作法如下∶

  ###-----------------------------------------------------###

  # 启动外部对内部转址

  ###-----------------------------------------------------###

  # 凡对 $FW_IP:80 连线者, 则转址至 172.16.255.2:80

  iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

  开放内部主机可以 telnet 至外部的主机

  开放内部网路,可以 telnet 至外部主机。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open 外部主机 telnet port 23

  ###-----------------------------------------------------###

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

  开放邮包转递通道

  开放任意的邮件主机送信包给你的 Mail Server,而你的 Mail Server 也可以送信包过去。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open SMTP port 25

  ###-----------------------------------------------------###

  # 以下是∶别人可以送信给你

  iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT

  iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

  # 以下是∶你可以送信给别人

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

  开放对外离线下载信件的通道

  开放内部网路可以对外部网路的 POP3 server 取信件。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open 对外部主机的 POP3 port 110

  ###-----------------------------------------------------###

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

  开放观看网页的通道

  开放内部网路可以观看外部网路的网站。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open 对外部主机的 HTTP port 80

  ###-----------------------------------------------------###

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT#p#

#p#

  开放查询外部网路的 DNS 主机

  开放内部网路,可以查询外部网路任何一台 DNS 主机。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open DNS port 53

  ###-----------------------------------------------------###

  # ***次会用 udp 封包来查询

  iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

  iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

  # 若有错误,会改用 tcp 封包来查询

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

  # 开放这台主机上的 DNS 和外部的 DNS 主机互动查询∶使用 udp

  iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

  iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

  # 开放这台主机上的 DNS 和外部的 DNS 主机互动查询∶使用 tcp

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

  开放内部主机可以 ssh 至外部的主机

  开放内部网路,可以 ssh 至外部主机。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open 外部主机 ssh port 22

  ###-----------------------------------------------------###

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

  # 以下是 ssh protocol 比较不同的地方

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

  开放内部主机可以 ftp 至外部的主机

  开放内部网路,可以 ftp 至外部主机。

  作法如下∶(预设 policy 为 DROP)

  ###-----------------------------------------------------###

  # open 对外部主机 ftp port 21

  ###-----------------------------------------------------###

  # 以下是打开命令 channel 21

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

  # 以下是打开资料 channel 20

  iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT

  iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

  # 以下是打开 passive mode FTP 资料通道

  iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT

  iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

  开放 ping

  可以对外 ping 任何一台主机。

  作法如下∶(预设 policy 为 DROP)

  iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT

  iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT 、

通过上文的文章的描写和例子的说明,我们可以清楚了解到把iptables外网端口全部映射到内网一台主机上的具体过程!

【编辑推荐】

  1. 配置Linux 内核并利用iptables 做端口映射
  2. iptables映射端口具体操作
  3. linux下清空所有iptables规则
  4. 用iptables做地址映射
  5. 保存iptables的防火墙规则的方法
  6. iptables日志通过MySQL来保存
  7. 关掉Iptables防火墙的相关的命令

 

责任编辑:赵鹏 来源: 互联网
iptables 映射外网内网
相关推荐
Ubuntu iptables 内网端口映射
在使用Ubuntuiptables,我们可以实现Ubuntu内网端口映射,本文将提到他们实施的具体步骤!

2011-03-16 10:43:36

完全控制映射到外网内网web服务器
我们获取到一个菜刀马之后,在权限范围内可以查看任意目录,执行任意命令,但是我们常常也会遇到各种各样坑,如有些文件我们上传不了,有些文件我们也下载不下来(可能是文件太大,也可能是文件夹不方便下载),有些文件不好压缩等等,主要是针对windows的web服务器,但是如果我们能获取到一个3389的远程桌面,那么这些问题基本可以得以解决!

2017-08-23 10:18:42

如何实现 iptables 端口映射
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统.在上篇文章中,我们介绍了iptables的端口转发功能,本文要讲的是iptables端口映射,他是如何实现的,让我们来看文章!

2011-03-16 13:29:33

iptables 端口
如何一台铅封计算机上取走数据
写这篇东西的那几天,正好当时用的XFocusBlog空间不能访问了,所以当时发在XFocus的BBS上:https:www.xfocus.netbbsindex.phpactST&f2&t59433。刚才整理旧文档又翻了出来,觉得挺有意思,还是应该记到Blog上

2009-11-03 22:38:11

安全数据
iptables 端口映射设置
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。上篇文章我们将了iptables端口映射的编译,这里我为大家讲下iptables端口映射设置。

2011-03-16 13:09:10

iptables 端口
Windows和Linux如何一台计算机上共存
NT和Linux共存的最简单的方法就是在安装Linux的lilo时,选择将lilo安装在Linux主分区的引导区中。然后使用win98的启动盘重新启动以后,运行fdisk将Linux主分区设置为active......

2009-08-13 11:00:09

WindowsLinuxlinux操作系统
iptables+NAT+端口映射
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文给大家总的讲下iptables+NAT+端口映射,这三个东东都比较重要。

2011-03-17 13:55:23

iptablesNAT端口映射
iptables映射端口具体操作
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。新手们配置好自己的LINUX系统后,想通过iptables映射80端口,怎么办,答案就在文章中!

2011-03-17 09:06:58

iptables映射端口
iptables实现端口转发、端口映射及双向通路
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。iptables实现端口转发、端口映射及双向通路的具体方法,统统都能在文章中找答案!

2011-03-16 12:55:00

iptables 端口
机多能 一台体机搞定全部办公需求
现代化办公的得力助手,就是各种各样的办公机器,比如打印机、复印机、扫描仪、传真机等,都有效地提高了公司或企业的办公效率。然而,每一种功能就需要一台机器设备么不一定!个人PC电脑发展到越来越小,浓缩了很多功能,办公机器也是一样,就是数码一体机,囊括了打印、复印、扫描以及传真功能,不仅节省了办公室的地方,价格也远远低于所有的办公器材之...

2011-08-08 14:36:21

复合一体机推荐
使用Nginx实现服务器中多容器共存
有一台腾讯的Linux云主机,在服务器上部署了一个docker(称为ServiceDocker,名称为sign,下同),ServiceDocker内部使用了80、443、3306端口,分别映射到宿主机(云主机)的相同端口(即80、443、3306)。

2018-10-08 08:45:12

Nginx服务器容器
如何探测内网存活主机
在渗透中,当我们拿下一台服务器作为跳板机进一步进行内网渗透时,往往需要通过主机存活探测和端口扫描来收集内网资产。

2020-09-26 22:08:17

内网协议渗透
Zabbix系列—⑤监控第一台Linux主机(v5.2.6)
zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位解决存在的各种问题。

2021-07-12 06:52:48

Zabbix监控Linux
我国第一台32路主机系统即将上市
据悉,由我国信息产业领军企业浪潮集团研制的关键应用主机天梭K1系统将于下周正式上市。该系统最大可扩展32颗处理器,系统可用性达到99.9994%,是我国面向关键行业核心业务系统自主研发的首台主机系统。

2013-01-18 09:15:26

浪潮天梭K1关键应用主机
如何选择一台企业光纤交换机
下面就为大家介绍几款优秀的光纤交换机产品,选择一台性价比高的价格便宜的光纤交换机是非常有必要的。

2010-03-16 10:50:21

光纤交换机
如何搭建一台Linux媒体服务器?
几乎任何Linux都能成为出色的媒体服务器系统,因为它占用资源少、运行又稳定,所以你可以使用自己最熟悉的任何一个版本的Linux。任何Ubuntu变种版本(Ubuntu、Xubuntu和Lubuntu等)都特别适合作为媒体服务器系统,因为它们让用户很容易获得限制的编解码器。

2014-09-18 10:15:54

如何成功入侵一台Linux服务器
攻击者在服务器上安装了多个应用,包括比特币和素数币挖矿程序,DDoS工具,扫描其它存在已知漏洞的机器。随着Linux服务器的流行,它和WindowsPC一样成为攻击者眼中极具吸引力的目标。

2013-12-20 09:48:12

配置Linux 内核并利用iptables端口映射
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。配置Linux内核后,我们应该利用iptables做端口映射,把映射做好就能正常工作了,本文讲下他的具体流程!

2011-03-17 09:35:35

iptables 映射Linux内核
教你如何关闭iptables网络端口
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。在iptables如何关闭网络端口,答案就在文章里。

2011-03-16 15:52:04

关闭iptables
如何构建一台网络引导服务器(
有些计算机网络需要在各个物理机器上维护相同的软件和配置。学校的计算机实验室就是这样的一个环境。网络引导服务器能够被配置为基于网络去提供一个完整的操作系统,以便于客户端计算机从一个中央位置获取配置。本教程将向你展示构建一台网络引导服务器的一种方法。

2018-12-25 14:20:58

服务器命令Linux
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服