Search
Search
要防止這種攻擊,iptables 提供了路由與轉送政策,以防止網路資源的非正常使用。 ... 的電腦與外部公眾網路連線,請設定防火牆為IP 偽裝(IP masquerading),把來自區 ...
#2. Linux NAT Masquerade 研究(上) | Hwchiu Learning Note
實務上這也牽扯到滿多系統的設定,因此大部分的情境都會喜歡 ... 由於整個架構都是跟者netfilter/iptables 一起,所以MASQUERADE 本身的架構也必須 ...
#3. [iptables] Linux系統四步驟設定NAT - 痞客興的部落格
對外eth1可NAT. /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE. 3. 設定iptables可接受從eth1進來到eth0的流量狀態.
#4. 小州的NAT iptables ipchains 說明
標題: [文件]使用iptables 設定使用NAT 分享網路頻寬時間: Tue May 15 19:09:03 2001. Linux 上使用IP-Masquerade 所謂的IP 儰裝以便於達成該功能。
#5. iptables 設定入門
但是如果您的 Linux 主機還有考慮到NAT 的功能,那麼nat table 的PREROUTING 與POSTROUTING 還有filter table 的FORWARD 就得需要好好的設定一番了! ipchains 和iptables ...
#6. 使用iptables 實做NAT 轉發封包| 程式狂想筆記
Windows 10 和Linux 如何轉發IP. 每一台電腦都可以擔任轉發動作,但一開始我在預設閘道怎麼沒有效果其實都需要設定 ...
使用iptables 設定使用NAT 分享網路頻寬. Linux 上使用IP-Masquerade 所謂的IP 儰裝以便於達成該功能。 Linux 上的IPMASQ 因為kernel 一些核心功能有調整過,所以相關 ...
#8. 如何在Linux 下利用iptables 快速設定NAT 環境分享
Gateway 是192.168.100.1. 假設這台新架設的NAT 主機的網路設定如下:. 內部IP 為192.168.100.2. 那麼請切記, ...
#9. iptables 的安裝與設定
防火牆(Firewall)簡介 · 移除ipchain 模組 · 安裝iptables 模組 · iptable 指令格式 · 設定使用iptables · iptables 相關指令 · 使用nat table 來作SNAT 或MASQUERADE · 使用nat ...
#10. Linux下使用iptables架設簡單NAT Server(for CentOS 5.5)
上圖為我們的環境架構。 我們主要的設定皆在NAT Server(CentOS 5.5)上,對外IP使用10.237.0.1 (eth0),對內IP使用192.168.191.254(eth2) 情.
#11. 如何用iptables實現NAT - IT閱讀
典型的防火牆設定有兩個網絡卡:一個流入,一個流出。iptables讀取流入和 ... iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to ...
#12. 在iptables 上設定NAT - 小易
所以我們必須要在這邊設定好封包轉換(NAT),才可以上網! 在iptables 上的指令為這樣(注意:eth1 是公網網卡名稱) iptables -t nat -A POSTROUTING ...
#13. Linux IP 分享(NAT)設定 - Jonathan's Wiki 筆記
來自eth0 的8081 自動轉到192.168.0.22:8080. vi /etc/sysconfig/iptables : *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ...
#14. [Ubuntu] iptables 設定防火牆與NAT 筆記 - 鴻雁3c電腦店- 痞客邦
[Ubuntu] iptables 設定防火牆與NAT 筆記 ... 下iptables指令,沒有特別指定table時,會使用filter這個table。 特別要注意的是,iptable的rule具有優先順序 ...
#15. 一起幫忙解決難題,拯救IT 人的一天
iptables -t nat -A POSTROUTING -s 172.16.100.0/24 -o eth0 -j MASQUERADE. 或者(這邊我捫把10.10.10.10 假設為可以連結外網的IP位址) 而這個設定就是將我內部網 ...
#16. Firewall & NAT
本實驗是要將一台裝有兩張網路卡的個人電腦,設定 ... 讓你的Linux成為NAT伺服器 ... iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j.
#17. Ubuntu10 Iptables 防火牆+NAT+port forward - 蒼芎技術筆記本
當架好Ubuntu Linux後,可以進階使用Iptables功能,將Ubuntu變成一台Router並對應到內部的IP開放相關服務,如[ftp][www]...等等。 ... Server設定如下所示:
#18. [ Linux ] - Ubuntu 18.04 NAT 設定讓內網主機也可以連上對外網路
DHCP 就是自動分配ip的主機,從設定好的ip池中分配ip給主機,當主機用完後再交回ip池中等待下一次的 ... sudo iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE ...
#19. iptables-NAT 應用- ShengJhe`s Web Site - Google Sites
NAT 轉換 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 在NAT表/POSTROUTING加一行規則由eth0輸出 ... 搭配NDIS:Linux eth0:0 作140.137.214.200的IP設定。
#20. 10分鐘學會IPTables | 思考,奮鬥,救自己
可以看到IPTables中,其實規則的設定是這樣子 ... sudo iptables -t nat -A PREROUTING -d x.x.x.x(你家IP) -p tcp --dport 222 -j ...
#21. 前言 本次研習針對RedHat8
前言 本次研習針對RedHat8.0 Psyche進行安裝操作說明,目的: 1.網路位址轉換(NAT)伺服器建立. 2.IPTABLES防火牆建立. IP tables & NAT運作介紹 封包. IP Masquerade
#22. Linux NAT 設定 - 小信豬的原始部落
此僅為設定範例(請視情況修改) iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE # SNAT(封包偽裝)
#23. iptables - 維基百科,自由的百科全書
從本地端發起的連線不會遵循nat表上PREROUTING鏈的設定。如果你想讓本地端也遵循規則,你可以另外鍵入下面的指令:. iptables -t nat -A OUTPUT -o lo -p tcp --dport ...
#24. NAT 設定@ 阿吉的部落格 - 隨意窩
使用Gentoo Linux 架設IP分享器。參考網址: Gentoo Linux Documentation -- Home Router Guide使用的參數:.eth0 - NIC connected to the Wide Area Network ...
#25. OpenWrt 的世界︰樹莓派3B 【路由器】移星轉斗《二下》
作用就只是在iptables 內的NAT 表格當中,那個路由後的POSTROUTING 鏈進行IP 的 ... 這個設定值就是『 IP 偽裝成為封包出去(-o) 的那塊裝置上的IP』!
#26. Week 08(2020/11/12) - HackMD
ufw: ubuntu內建用來操作firewall的服務(方便設定iptables); Uif(需透過設定 ... nat output: 假設目的去日本要先知道去哪搭飛機(知道要去哪個機場) ...
#27. Make a CentOS 8 Router - yilianwu
§ Routing - NAT & iptables. 如果要設定NAT就要一起設定防火牆在CentOS 8中我使用iptables. Install iptables. dnf install iptables-services iptables ...
#28. 第4 堂課- 認識與建置防火牆
了解Linux iptables 防火牆機制; 熟悉iptables 的觀察與設定語法; 實際設定Linux 伺服器本機防火牆; 實際設定Linux NAT 防火牆,含SNAT 與DNAT ...
#29. 淺談iptables - 3個應用
iptables - administration tool for IPv4 packet filtering and NAT. 應用1:讓區域網路內的電腦以一個真實IP來共享頻 ... 設定: 在/etc/rc.d/rc.local 寫入以下幾行.
#30. NAT、IPsec 及iptables 大亂鬥 - 大樹kingmax的隨手筆記
看似沒問題但是連到其他VPC 機器為什麼顯示的ip 是這台NAT + IPsec 的ip ? 可是拿掉這段iptables 設定,VPC 就無法連外了啊~~~~ 所以看起來奇怪,還是先放著吧過了 ...
#31. PowerPoint 簡報
sudo su #必須使用root權限才能變更防火牆iptables的設定; 封包逐條比對規則,如果都 ... 設定清單. Server. 設定網卡,成為區網的gateway; 設定封包轉送功能; 設定NAT.
#32. Network Address Translation (NAT) - Outline
iptables /netfilter 機制設計一簡易的NAT ... 即NAT是在router 中進行一個更換IP header ... Client的gateway設定為NAT主機,當要連上Internet.
#33. #!/bin/bash # 請先輸入您的相關參數,不要輸入錯誤了! EXTIF ...
先設定好核心的網路功能: echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo ... do iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE done fi fi.
#34. Linux Iptables 轉發設定 - tw511教學網
不過,如果你的防火牆事實上是用來管制LAN 內的其他主機的話,那麼你就必須要再針對filter 的FORWARD 這條鏈,還有nat 的PREROUTING, POSTROUTING 以及 ...
#35. IPTables-Linux Firewall - 不自量力のWeithenn
在玩IPTables 以前我們必須先了解一下,您所下的iptables 防火牆規則對封包進行過濾、封包處理、封包狀態變更、NAT、封包Qos...等,這些 ...
#36. NAT 執行個體
sudo sysctl -w net.ipv4.ip_forward=1 sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo service iptables save. 若要設定NAT 執行個體.
#37. iptables - 關於網路那些事...
在Linux 系統內建多數使用iptables 作為防火牆,用來過設定允許的封包清單, ... iptable預設包括了5張表: Filter Table, NAT Table, Mangle Table, ...
#38. [Linux]Centos7 設定成路由器Router(route,iptables) - IT學海無涯
[Linux]Centos7 設定成路由器Router(route,iptables) ... iptables -t nat -A POSTROUTING -o XXXX -j MASQUERADE // XXXX 為介面名稱,此例為ens18
#39. 3.2.2. 直接路由與iptables Red Hat Enterprise Linux 6
3.1. NAT Load Balancer 外掛程式網路 ... 在LVS 路由器上啟用NAT 路由設定 ... 3.2.2. 直接路由與iptables. 另一個解決ARP 問題的方法,是建立 iptables 防火牆規則。
#40. iptables - 牛的大腦
IPTABLES 用來設定netfilter的User Space工具 ps:netfilter為linux負責處理網路封包之系統 ... ex:iptables -P INPUT DROP 則所有進入的封包都會被丢棄若table是nat, ...
#41. [ubuntu]設定簡易防火牆與NAT(iptables) @ 隨手亂記:: 痞客邦::
[ubuntu]設定簡易防火牆與NAT(iptables) ... 下iptables指令,沒有特別指定table時,會使用filter這個table。 特別要注意的是,iptable的rule具有優先順序。 一旦遇到符合的 ...
#42. Linux – NAT + Routing - Benjr.tw
而要去10.1.1.x 的會透過NAT 偽裝. 設定NAT + Routing 步驟如下: 先來設定NAT 打開Linux 下iptables 的NAT.ubuntu 預設沒開啟ip_forward ( ...
#43. 【 Linux 】設定可以完整紀錄Log 的防火牆– NAT iptables
【 Linux 】設定可以完整紀錄Log 的防火牆– NAT iptables ; -P · 定義政策( Policy ),注意,這個P 為大寫。 ; INPUT. 封包為輸入主機的方向。 ; OUTPUT. 封包 ...
#44. 在CentOS 7 使用firewalld 架設NAT - 自造者教學網
整理舊資料時,發現iptables的資料,但是Centos 7 已經改用firewalld 了,所以尋找網路上相關的資料。 ... 重新讀取防火牆設定後,NAT 就完成了。
#45. 端口映射實作- 《Docker
不管用那種辦法,其實也是在本地的 iptable 的nat 表中新增相應的規則。 ... 如果希望永久綁定到某個固定的IP 位址,可以在Docker 設定檔案 /etc/default/docker 中 ...
#46. 在Ubuntu上進行NAT實做(利用iptables) [論壇- 伺服器架設]
所以很顯然我必須要把桌機這邊設定傳遞封包到整個NAT形成的private LAN當中. 不管如何, 就是要假設這台桌機是一台模擬的router就對了, 還要外加NAT設定.
#47. Linux 或Windows 上實現埠對映 - IT人
iptables -t nat -A PREROUTING -p tcp -m tcp --dport [外網埠] -j ... -s 192.168.50.0/24 -o ens37 -j MASQUERADE #設定埠對映iptables -t nat -A ...
#48. iptables設定內部伺服器,內部網路上網 - 獵豹的瑣事
例如對外ip為163.22.111.x,內部web server ip為192.168.1.10:80 iptables -t nat -A PREROUTING -p tcp -d 163.22.
#49. iptables中DNAT、SNAT和MASQUERADE - 碼上快樂
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE. 重點在那個『 MASQUERADE 』!這個設定值就是『IP偽裝成為封包出去(-o)的 ...
#50. iptables防火牆網路安全實踐設定 - IT145.com
01:iptables防火牆網路安全前言介紹企業中安全設定原則: 盡可能不給伺服器設定外 ... iptables -t nat -L -n --- -t 表示指定檢視或者設定相應的表
#51. [ubuntu]防火牆實作| 飛狼實驗室[wp]
echo "Flush nat table ......" ... 設定filter table 的預設政策 ... iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE.
#52. Linux網路設定與故障排除抽絲剝繭排解網路疑難雜症 - 網管人
使用DHCP動態取得網路設定有著簡單方便的優勢,在Linux上通常使用dhclient來當作DHCP客戶端程式,從名稱dhclient上就可以看得 ... 2 - MASQUERADE(防火牆採NAT模式).
#53. 利用CentOS當NAT讓內部電腦上網
如果要移除nat設定,請執行以下兩行指令 # sysctl net.ipv4.ip_forward=0 # iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE.
#54. [Linux] iptables ip/port forwarding | Calos's Blog
轉送外來tcp port 20022封包到本機的port 22 root@localhost:~$ iptables -t nat ... 先保存現在已經設定好的rules root@localhost:~$ iptables-save ...
#55. nftables 簡介
不像iptables 只能控制IPv4、想要設定IPv6 得用ip6tables、想要 ... table ip raw table ip mangle table ip nat table ip6 security table ip6 raw ...
#56. [iptables] Linux系統四步驟設定NAT - Zi 字媒體
將ipforward設定為開啟echo 1 > /proc/sys/net/ipv4/ip_forward 2. 對外eth1可NAT /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 3.
#57. 用iptables做port redirection - 阿就操場啊~
設定 對外機器的port redirection指令如下:. sudo sysctl net.ipv4.ip_forward=1; sudo iptables -t nat -A POSTROUTING -j MASQUERADE ...
#58. Linux防火牆iptables基本使用方法 - Max的程式語言筆記
iptables 內建有五個Tables , 分別是Filter Table, NAT Table, ... 新增自訂的Table ,那麼iptable 會使用Filter Table 裡的設定來處理網路封包。
#59. 利用iptables 實現NAT Server (IP分享器) 的方法
一、iptables 的架構. filter:主要用來記錄封包的過濾規則,用於防火牆的設定. nat:用來轉換封包的位址,讓內部電腦可以上網.
#60. iptables的觀念與使用
OUTPUT的規則可存在於:raw、mangle、nat、filter; POSTROUTING的規則可存在於:mangle、nat. iptables中規則的設定. 有n張table,每張table內 ...
#61. iptables nat 教學 - Lefoud
Destination NAT settings /sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 –dport 80 -j DNAT –to ... Transparent Proxy NAT 設定教學; iptables 指令入門 ...
#62. Ubuntu Server 如何永久儲存iptables的設定? | MagicLen
首先,為了方便說明,先用以下指令將iptables已經設定的防火牆規則和所有表格的 ... -F && sudo iptables -t nat -F && sudo iptables -t mangle -F.
#63. Windows系統可以做nat嗎?像linux採用iptables實現? - 劇多
3、選“設定有網路地址轉換(NAT)路由協議的路由器”,不選“設定Internet連線共享(ICS)”.(ICS與NAT的區別在於,ICS針對內部主機,它需要有一個固定的IP ...
#64. QEMU 網路設定– 橋接與NAT - 月半人的家
在虛實分開的方案下,要讓虛擬網卡可以上網,就是透過iptables 實行NAT 就可以了。這邊假設設Guest 裡的IP 為192.168.2.x,Host br0 IP 為192.168.2.254。
#65. Ubuntu iptables 防火牆設定 - icodding愛程式
有VPN 要設定這個 #iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m ...
#66. iptables_rule.txt
先設定好核心的網路功能: echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo ... NAT 伺服器後端的LAN 內對外之伺服器設定# iptables -t nat -A PREROUTING -p tcp ...
#67. openwrt - firewall | 夢想家
最基本的設定是2 個zone (lan, wan) policy 及default 的forwarding ... iptables -t nat -I zone_wan_nat -p tcp -j MASQUERADE --to-ports 31000- ...
#68. [Linux NAT設定] iptables setting | Ln的收藏館
1. 清理iptables: iptables –flush · 2. 設定IP Forwarding and Masquerading · 3.iptables-save > /etc/network/iptables.rules · 4.vi /etc/network/interface.
#69. 超級詳細的iptables介紹 - 台部落
需要注意的是Netfilter設定了一些關於連接和數據包的狀態,但沒有完全使用 ... 如果我們不知道連接Internet的IP,首選的方法就是使用MASQUERADE,而 ...
#70. CentOS 6.5 利用iptables 來建立NAT Server (IP forwarding)
在一般會使用 proxy ,但在沒有proxy 的狀況最快的方式就是使用暫時NAT 的方式來進行. ※必須擁有iptables 套件. 設定NAT Route ( Server ).
#71. Debian Linux 設定IPv6 NAT | 呆翰工作領域
使用ip6tables 設定NAT; 使用radvd 做Routing Advertisement. 第四步應該也可以用DHCPv6 代替 Routing Advertisement ,但是目前沒有實作的必要所以跳過 ...
#72. 【教學】Linux 多網卡NAT主機實做- PCZONE 討論區
建議進入X11,用[系統設定]裡面的[網路]來修改網卡設定,會比較方便。 ... iptables -t nat -A POSTROUTING -o eth0 -s 192.168.11.0/24 -j MASQUERADE ...
#73. 讓遠端可VNC 或AOC 進NAT 內的電腦(IPTABLES) | Tsung's Blog
讓遠端外面的機器可以連進NAT 的某台電腦, 只要iptables 設定兩個port 即可. /sbin/iptables -t nat -A PREROUTING -p tcp --dport 5800 -i ppp0 -j ...
#74. CF136: 防火牆-iptable - 小麥個人網
再用# iptables -F 先解除防火牆設定(這只是暫時解除) 三、如何透過Webmin來設定簡易的firewall ... 如果是要將linux server當router或是nat主機用,
#75. Transparent Proxy NAT 設定教學
另外在proxy server上面的iptables裡面要設定把port 80的流量轉給squid處理 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT ...
#76. [轉錄][文件]Linux iptables firewall 設定FAQ (8/ … - 看板SFFamily
如何查詢我目前iptables 的配置組態設定? iptables 本身提供 ... 一般使用方式: # iptables -L # iptables -t nat -L 不過iptables 對於規則內有ip ...
#77. Linux傳統的iptables防火牆全面詳解(圖文並茂多案例) | 有趣話題
管理和設定iptables規則. [-t 表名]:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則預設為filter. -A:新增一條規則,到該規則鏈列表 ...
#78. 在fedora 上設定NAT router
echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o em1 -j MASQUERADE ...
#79. Linux防火牆firewalld/iptables使用教程_其它 - 程式人生
一、Firewalld(iptables)命令介紹 · -A | · -L: · -N · -F: · -j ACCEPT | DROP | REJECT | DNAT | SNAT | MASQUERADE | MARK · -p(小寫): · -i: ...
#80. Blog E - Evan Lin
要使用Mandrake 預設的ADSL連線(PPPOE),就得在安裝的最後去設定網路設定裡麵添加ADSL設定,並且設為開機自動設定,如果你們跟我一樣需要NAT設定的話,使用Iptable可以 ...
#81. iptables防火牆filter表控制擴充套件匹配nat表典型應用 - 程式前沿
NSD SECURITY DAY04案例1:iptables基本管理案例2:filter過濾和轉發控制案例3: ... 步驟二:設定防火牆規則,實現IP地址的偽裝(SNAT源地址轉換).
#82. [ubuntu]設定簡易防火牆與NAT(iptables)_交通管制 - 新浪博客
預設的規則為允許全部封包通過或是以指令iptables -L 查看目前的規則 首先要說明預設的table有filter, nat, 以及mangle三個table 設定簡易的防火牆會 ...
#83. LXC Conatiner 設定Port Forwarding 提供外部連入
LXC Conatiner 設定Port Forwarding 提供外部連入 ... sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.0.3.211:8088
#84. iptables nat 教學10分鐘學會IPTables - Lvai
sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE 從 ... 樹莓派Raspberry Pi 設定無線網路WiFi AP,打造無線IP 分享器設定NAT: sudo ...
#85. iptables的用法 - ITPUB博客
INPUT :規則設定為filter table 的INPUT 鏈OUTPUT :規則設定為filter ... [root@test root]# iptables -t nat -A PREROUTING -p tcp --dport 80
#86. Linux防健忘日誌No.62-Ubuntu 12.04 DHCP Server+NAT架設
(2012/06/16更新:如果你套用以下iptables的設定之後,. 在某些情況下有可能會出現連結外部網路時不定期的嚴重掉速或者高延遲等問題,.
#87. 用兩張網卡在Linux系統架設NAT - My Life
之後將對外的網路線連到N2並設定IP為我對外固定的IP,那麼Desktop就可以對外連線,且可連線到IAD但是NB還不行。此時要透過Linux的iptables來設定NAT。
#88. Vuze 良好的傳輸埠
良好的埠號監聽及路由設定可以加快您的檔案下載的速度,因為有些時候,您所使用的 ... iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 10881 -j DNAT ...
#89. VirtualBox 4.2.4 Network setting - jeremyatchina - 博客园
注意:橋接介面卡若是在介面卡1上面設定的,則其他Guest OS的橋接介面卡也 ... Set up IP FORWARDing and Masquerading (NAT) iptables --table nat ...
#90. packet 沒有跑到iptables 的nat table 花了我一天半| by 林銘賢
所以需要設定iptables 做DNAT 把外部dhcp packet 轉給內部的dhcp server。 工作. dhcp server 的ip address 為192.168.10.254,virtual interface 為 ...
#91. iptable nat - 軟體兄弟
iptable nat, Filter table 負責過濾進入主機或離開主機、還有經過主機做forward的封包。 ... iptable nat · 軟體兄弟 · linux nat設定; 文章資訊.
#92. 網管系統開發經驗分享
NAT. iptables (Debian and Ubuntu). echo "1" > /proc/sys/net/ipv4/ip_forward ... iptables t nat A POSTROUTING s x.x.x.x/24 j ... 更新管理器設定檔.
#93. 讓A 主機routing 至B 主機出去抓資料
所以A 要設定 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE. 而B 要設定,意思就是只要是udp 161 ...
#94. 使用iptables nat將第1台server的80port轉向第2台server的80port
在virtual box中準備2台server,並安裝好httpd 等服務,啟動httpd 服務和設定開機啟動. 在2台server中的/var/www/html/建立基本頁面index.php,顯示 ...
#95. Linux iptables 防火牆設定 - Puritys Blog
NAT Table : Network Address Translation. NAT Table 預設有二個Chain : PREROUTING, POSTROUTING 。 PREROUTING chain : 再Routing 之前轉換封包來源IP ...
#96. 第二篇主機的簡易資安防護措施
系統的所有軟體都保持在最新的狀態; (3)權限設定妥當且定時進. 行備份工作; (4)已經教育使用者具有 ... iptables 的NAT table 內的Postrouting 鏈將封包表頭的來源.
#97. 『轉載』Linux iptables firewall 設定常見FAQ 整理
1. 一般建議單純化的NAT 服務配置語法為何? 2. 透過NAT 上網的內部ip 主機,ftp 連結存取錯誤? 3. 如何配置連線到NAT 主機某個對外Port 時,可以轉送到 ...
#98. iptables 設定筆記
root@ubuntu:~$ iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target ...
#99. NAT Router 架設實驗記錄 - Albert 的筆記本
設定NAT 功能. 首先需啟動ip forward 功能. $ vi /etc/sysctl.conf net.ipv4.ip_forward = 1 $ sysctl -p. 接著使用iptables 設定所需要的NAT 類型,.
iptables masquerade設定 在 [轉錄][文件]Linux iptables firewall 設定FAQ (8/ … - 看板SFFamily 的美食出口停車場
※ [本文轉錄自 Linux 看板]
發信人: [email protected] (小州), 看板: Linux
標 題: [文件]Linux iptables firewall 設定 FAQ (8/22/2006)
發信站: SayYA 資訊站 (Tue Aug 22 21:45:36 2006)
轉信站: ptt!ctu-reader!news.nctu!SayYa
=========================================
=========================================
常見 iptables 的 firewall 設定配置問題:
作者: 小州 (kenduest)
最近更新時間: 8/22/2006
=========================================
=========================================
標題列表項目: (一般本機的 firewall 配置問題)
1. 如何查詢我目前 iptables 的配置組態設定 ?
2. 如何關閉 Linux Distro 本身的 firewall 配置並讓規則清空不啟用?
3. 關於 RedHat 9, Fedora 與 RHEL 的 firewall 配置問題
4. 如何使用手動方式清空與重置 iptables firewall rule?
5. iptables firewall 本身封包比對判斷流程圖為何?
6. iptables firewall 本身封包比對規則方式為何?
7. 使用 -P INPUT DROP 引起的主機本身對外連線不通問題?
8. 使用 -P INPUT DROP 導致本機存取自己服務也受到限制?
9. 使用 -P INPUT DROP 引起的網路存取正常,但是 ftp 連入卻失敗?
10. 使用 -P OUTPUT DROP 引起的網路不通問題?
11. 有無建議本機 firewall 服務只有開放對外項目,其餘禁止的配置方式?
標題列表項目: (提供 NAT 服務配置問題)
1. 一般建議單純化的 NAT 服務配置語法為何?
2. 透過 NAT 上網的內部 ip 主機,ftp 連結存取錯誤?
3. 如何配置連線到 NAT 主機某個對外 Port 時,可以轉送到內部某主機?
4. 使用 -j MASQUERADE 與 -j SNAT 於 NAT 使用差異 ?
=========================================
一般本機的 firewall 配置問題
=====
1. 如何查詢我目前 iptables 的配置組態設定 ?
iptables 本身提供了 iptables-save 這個程式檔案,執行後可以檢視目前的配置。
# iptables-save
若是使用 iptables 該主要的程式的話,可以搭配 -L 選項列出規則清單。
不過由於 iptables 過濾本身是可以針對不同 table 來處理,傳入 -t 可以查閱
指定的 table,不指定時預設表示使用 filter table 項目。一般使用方式:
# iptables -L
# iptables -t nat -L
不過 iptables 對於規則內有 ip 位址項目時會進行反查解析出主機名稱,
這個也常導致反查時需要時間導致列出規則時卡住無法運作下去,所以實際上
一般會搭配傳入 -n 選項,表示不顯示反查後主機名稱結果。
# iptables -L -n
# iptables -t nat -L -n
當然,若是要查閱更詳細的資訊,可以再搭配 -v 選項。
# iptables -L -n -v
# iptables -t nat -L -n -v
=====
2. 如何關閉 Linux Distro 本身的 firewall 配置並讓規則清空不啟用?
各家發行版本都會提供各自的 firewall script 於開機時自動帶入設定規則,
所以並沒有一個統一的做法。
--
在 RHEL 與 Fedora Linux 內的開機 script 本身為 /etc/init.d/iptables,
所以關閉方式手動可以執行:
# /etc/init.d/iptables stop
設定每次開啟不啟動該服務項目,可以使用 chkconfig 來關閉。
# chkconfig iptables off
--
若是 SLES 的話,修改 /etc/sysconfig/network/config 配置,裡面可以找到:
# With this variable you can determine if the SuSEfirewall when enabled
# should get started when network interfaces are starte
FIREWALL="yes|no"
這可以設定每次啟動網路時是否啟用 firewall 配置。
=====
3. 關於 RedHat 9, Fedora 與 RHEL 的 firewall 配置問題
系統本身提供配置 firewall 方式,文字模式是可以執行 setup 程式,
於 Firewall 項目進入後就可以選擇新增相關規則。最後所開放允許的組態
都是儲存於 /etc/sysconfig/iptables 檔案內。
使用 /etc/init.d/iptables start 或者是 service iptables start 時,
就會依據 /etc/sysconfig/iptables 設定的配置啟用 firewall 設定。
於 /etc/sysconfig/iptables 的格式結果,可以使用 iptables-restore 程式
由標準輸入讀入後進行啟用。簡單說所謂開啟該服務,其實也就是:
# iptables-restore < /etc/sysconfig/iptables
執行 /etc/init.d/iptables save 可以把目前系統正在運作執行配置的規則
儲存至 /etc/sysconfig/iptables 檔案內,這底層其實也是呼叫 iptables-save
程式來達成該結果。簡單說也就是:
# iptables-save > /etc/sysconfig/iptables
關於 /etc/sysconfig/iptables 本身只有包含給 firewall rule 的規則敘述,
本身並沒有包含任何 iptables 相關 kernel module 載入配置, 若是需要載入
額外的 module 的話可以修改 /etc/sysconfig/iptables-config。
/etc/sysconfig/iptables-config 本身或於 /etc/ini.d/iptables 該腳本檔案
時讀入使用。依據該內容來看,提供相關變數定義可以指定載入必要的 module
項目:
# Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'),
# which are loaded after the firewall rules are applied. Options for
# the helpers are stored in /etc/modprobe.conf.
IPTABLES_MODULES=""
=====
4. 如何使用手動方式清空與重置 iptables firewall rule?
若是純手動的方始清空所有規則設定,一般可以採用下列方式:
# iptables -F # 若是沒有加上 -t 指定 table,預設是使用 -t filter
# iptables -X
# iptables -F -t nat
# iptables -X -t nat
# iptables -F -t mangle
# iptables -X -t mangle
其中 -F 表示清除指定 table 內所有 chain 項目內的規則清單設定。
-X 則是表示刪除使用者自訂的 chain 項目。
除了清除外,建議需要把過濾預設的政策設定為 ACCEPT,也就是允許任何封包
的傳輸不會被阻擋。
# iptables -P INPUT ACCEPT # 沒加上 -t 指定 table,預設使用 -t filter
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -t nat -P OUTPUT ACCEPT
# iptables -t nat -P PREROUTING ACCEPT
# iptables -t nat -P POSTROUTING ACCEPT
# iptables -t mangle -P PREROUTING ACCEPT
# iptables -t mangle -P POSTROUTING ACCEPT
# iptables -t mangle -P INPUT ACCEPT
# iptables -t mangle -P OUTPUT ACCEPT
# iptables -t mangle -P FORWARD ACCEPT
同時,後續若是手動打造 iptables firewall rule 的時候,該技巧也應該用上,
也就是先清除之前規則外,包含把預設的政策都改成 ACCEPT,這樣配置
firewall 規則才不會混亂不堪。
=====
5. iptables firewall 本身封包比對判斷流程圖為何?
詳細部份可以參閱這張表格:
https://ebtables.sourceforge.net/br_fw_ia/bridge3b.png
=====
6. iptables firewall 本身封包比對規則方式為何?
這個要區分成為幾點來說明:
1) 一般說法就是,first match,也就是符合規則敘述後就不再往下走
比方配置:
# iptables -P INPUT ACCEPT
# iptables -A INPUT -s 192.168.1.1 -j ACCEPT
# iptables -A INPUT -s 192.168.1.0/24 -j DROP
這就是 192.168.1.0/24 中,只有允許 192.168.1.1 可以存取,其餘
192.168.1.0/24 該網段 ip 都禁止存取。
常見設定觀唸錯誤如下:
# iptables -P INPUT ACCEPT
# iptables -A INPUT -j ACCEPT
# iptables -A INPUT -s 192.168.1.0/24 -j DROP
為何 1921.68.1.0/24 還是可以存取不被禁止?這就是比對的符合就不會繼續
往下走。
不過這邊到是要先註明的是,-j LOG 與 -j MARK 這類規則倒是會繼續往下比對,
這個與 -j ACCEPT 與 -j DROP 就不相同情況。
2) 當比對規則都跑完了都沒有任何符合的敘述時,最後結果要看預設政策設定
# iptables -P INPUT ACCEPT
# iptables -A INPUT -s 192.168.1.0/24 -j DROP
# ......
上面規則來說,表示預設封包都允許連入存取的,只有禁止 192.168.1.0/24,
也就是說比對流程規則跑完後都沒有任何符合敘述,最後就是允許存取。
# iptables -P INPUT DROP
# iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
# ......
上面規則來說,表示預設封包都禁止連入存取的,只有允許 192.168.1.0/24,
也就是說比對流程規則跑完後都沒有任何符合敘述,最後就是允許禁止。
把預設的政策調整為 DROP 基本上需要注意非常多流程,下面部份會談到這部份
要注意事項。一般來說建議除非很清楚把預設存取設定為 DROP 帶來的結果,
要不然請勿貿然配置使用。因為這樣設定的話,雖然是說只有開放 192.168.1.0/24
可以連入存取,但是卻會導致該服務主機只可以連線到 192.168.1.0/24 網段的
主機,其他的目的都被禁止了。
=====
7. 使用 -P INPUT DROP 引起的主機本身對外連線不通問題?
為了更嚴厲的防火牆存取限制,一般初學者會這樣配配置:
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
也就是主機只有打算開放 ssh 服務對外提供存取。
這樣乍看之下好像非常正確,但是設定好後外面是可以連到該 port 22 服務,
但是卻導致了一個後續的問題,也就是
"該主機若是要主動對外要建立連線卻被禁止"
比方這台服務主機無法使用 ssh 登入到遠端主機,也無法用瀏覽器看其他主機
port 80 的 http 服務
引起該問題的原因呢? TCP/IP 本身是雙向的,也就是有出必有進,有進必有出。
這個規則沒考慮到這點問題。當主機對外要建立連線時,對方勢必也要回應封包
到原主機,所以回應的封包是要被允許的。不過該配置來看卻沒考慮到這點問題,
所以導致回應的封包被丟棄,所以連線根本建立失敗。
所以設定 -P INPUT DROP 時,一般正確方式應該考慮加上允許主機本身對外連線
時對方回應封包項目,也就是:
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
-m state --state ESTABLISHED 扮演很重要角色,那就是允許連線出去後對方
主機回應進來的封包。
=====
8. 使用 -P INPUT DROP 導致本機存取自己服務也受到限制?
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
不過上面規則通常應該考慮的是,主機本身對外只有提供可以連結存取 port 22
該 ssh 服務,但是若是自己主機有開 port 80 與 port 25 等 服務項目的話,
這樣配置卻也導致自己存取自己的主機服務也被限制住了。
基於該問題,一般會建議加上由 loopback interface 該介面不受到該 firewall
組態限制而被阻擋,一般會建議改成:
# iptables -P INPUT DROP
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
=====
9. 使用 -P INPUT DROP 引起的網路存取正常,但是 ftp 連入卻失敗?
依據前面介紹方式,只有開放 ftp port 21 服務,其他都禁止的話,
一般會配置使用:
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
這樣的配置,確認 ftp 用戶端是可以連到 ftp 主機並且看到歡迎登入畫面,
不過後續要瀏覽檔案目錄清單與檔案抓取時卻會發生錯誤...
ftp 協定本身於 data channnel 還可以區分使用 active mode 與 passive mode
這兩種傳輸模式,而就以 passive mode 來說,最後是協議讓 ftp client 連結到
ftp server 本身指定於大於 1024 port 的連接埠傳輸資料。
這樣配置在 ftp 傳輸使用 active 可能正常,但是使用 passive mode 卻發生
錯誤,其中原因就是因為該主機firewall 規則配置不允許讓 ftp client 連結到
ftp server 指定的連結埠才引發這個問題。
要解決該問題方式,於 iptables 內個名稱為 ip_conntrack_ftp 的 helper,
可以針對連入與連外目的 port 為 21 的 ftp 協定命令溝通進行攔截,提供給
iptables 設定 firwewall 規則的配置使用。開放做法為:
# modprobe ip_conntrack_ftp
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
其中 -m state 部分另外多了 RELATED 的項目,該項目也就是狀態為主動建立
的封包,不過是因為與現有 ftp 這類連線架構會引發另外才產生的主動建立的
項目。
不過若是主機 ftp 服務不在 port 21 的話,請使用下列方式進行調整:
# modprobe ip_conntrack_ftp ports=21,30000
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
也就是主機本身提供 ftp 服務分別在 port 21 與 30000 上,讓
ip_conntrack_ftp 這個 ftp helper 能夠正常提供 ftp 用戶端使用 passive
mode 存取而不會產生問題。
=====
10. 使用 -P OUTPUT DROP 引起的網路不通問題?
來看看這樣配置片段敘述:
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT DROP
這樣配置來看,感覺上就是主機對外完全開放沒有任何限制連入,但是該主機
對外本身限制預設不可以連外,但是結果卻是不管外面也根本連不進來。
該問題 如同上面提到使用 -P INPUT DROP 的配置問題一樣,這樣也是根本沒有
考慮到 TCP/IP 本身是雙向溝通的問題。
考慮連入封包後續主機要回應的項目,也是需要搭配傳入 -m state 來提供允許
回應封包的項目,所以整個來看片段敘述為:
# iptables -P OUTPUT DROP
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
這樣設定好結果,就是該主機本身可以對自己主機服務連結存取,但是對外連結
存取都會被禁止。
不過拉回來看,有必要配置 -P OUTPUT DROP 嗎?老實說個人倒是感覺通常都是
多此一舉,因為實際應用部份通常不會限制自己主機對外連線的功能。
不過若是堅持要設定 -P OUTPUT DROP 的話,要考慮後續主動連外部份的開放
描述可能可多了.... 比方這樣配置項目:
# iptables -P OUTPUT DROP
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
# iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
# iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
這樣是不是有點找自己麻煩?:)
所以結論就是除非定真的是不想讓自己主機有主動連外的需求,那才考慮把
OUTPUT chain 的預設政策設定為 DROP,否則不要使用這種配置。
=====
11. 有無建議本機 firewall 服務只有開放對外項目,其餘禁止的配置方式?
依據前面談到流程,若是預設 INPUT 的存取是禁止的話,提供如下配置參考:
# modprobe ip_conntrack_ftp
# iptables -P INPUT DROP
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
若是預設 INPUT 的存取是允許的話,提供如下配置參考:
# modprobe ip_conntrack_ftp
# iptables -P INPUT ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -m state --state NEW,INVALID -j DROP
若是需要允許主機可以接受 ping 程式測試這台機器是否可以存取的話,
可以搭配使用:
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
當然請注意,搭配先使用 -F 與 -X 先把預先存在的 rule 清空後,避免
rule 混雜在一起而互相影響。
=====
提供 NAT 服務配置問題
=====
1. 一般建議單純化的 NAT 服務配置語法為何?
這邊是假設對外的介面為 eth0,對內介面為 eth1,該對內網段的 ip 範圍是
192.168.1.0/24。
若是預設的 FORWARD chain 本身為 ACCEPT 的話,配置語法使用為:
# iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0 \
-j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
若是預設的 FORWARD chain 本身為 DROP 的話,配置語法使用為:
# iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0 \
-j MASQUERADE
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# echo 1 > /proc/sys/net/ipv4/ip_forward
當然,請不要忘記前面談到的議題,也就是搭配先使用好 -F 與 -X 這類項目。
還有預設 FORWARD chain 為 DROP 的話,考慮是否也開放允許 echo-request
這類 icmp 協定封包能夠允許由內部網段傳送出去。
=====
2. 透過 NAT 上網的內部 ip 主機,ftp 連結存取錯誤?
該問題點與前面談到 ftp 問題與搭配使用 -m state --state RELATED 配置
有關係。由於目前要的是 NAT 下 ftp 連線的追蹤功能,所以需要搭配掛入
ip_nat_ftp 該 module 才可以正確提供追蹤機制。
所以經過該修改配置,於預設的 FORWARD chain 本身為 ACCEPT 的話,配置
語法使用為:
# modprobe ip_nat_ftp
# iptables -A POSTROUTING -t nat -o eth0 -s 192.168.1.0/24 \
-j MASQUERADE
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# echo 1 > /proc/sys/net/ipv4/ip_forward
搭配 ip_nat_ftp module 後,如此於 FORWARD chain 內使用的 RELATED 參數
才會有效用。
=====
3. 如何配置連線到 NAT 主機某個對外 Port 時,可以轉送到內部某主機?
一般語法配置為:
# iptables -A PREROUTING -t nat -d 210.1.1.1 -p tcp \
--dport 80 -j DNAT --to-destination 192.168.1.1:80
這邊是假設該 NAT 主機本身對外的 ip 為 210.1.1.1,設定外面連結存取到該 ip
的 port 80 時,將封包轉送到 192.168.1.1 的 port 80 上。
不過該配置常談到的問題就是,也許有人在 192.168.1.0/24 該內部網段連結
210.1.1.1 的 port 80 時,卻無法瀏覽實際 192.168.1.1:80 該服務項目。
該問題牽涉到 icmp 重導的問題,而且目前 netfilter iptables 發展已經不會
有該問題。若是還有問題的話,可以考慮如下配置:
# iptables -t nat -A POSTROUTING -d 192.168.1.1 --dport 80 \
-s 192.168.1.0/24 -j SNAT --to 192.168.1.254
其中 192.168.1.254 也就是 NAT 主機對內的 ip,這樣可以讓該內部的
192.168.1.1 看到的存取來源為 192.168.1.254,如此可以解決該問題。
=====
4. 使用 -j MASQUERADE 與 -j SNAT 於 NAT 使用差異 ?
這邊是假設該 NAT 主機網路組態:
對外: eth0,ip 為 210.1.1.1
對內: eth1,該對內網段的 ip 範圍是 192.168.1.0/24
一般選擇提供 NAT 服務,讓內部 privae ip 可以存取連上 internet 的配置
方式有:
# iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
另外一種使用方式:
# iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j SNAT \
--to 210.1.1.1
# echo 1 > /proc/sys/net/ipv4/ip_forward
基本上最後的結果都是可以達成需求的,不過一般差別為:
1) 使用 -j SNAT 一般會比 -j MASQUERADE 效率來的好,因為這牽涉到封包
傳送通過相關介面時的相關比對問題
2) 若是對外本身 ip 不是固定的,也就是撥接取得這類會非固定的環境之下,
採用 -j MASQUERADE 會比較方便使用
=====
--
※ Origin: SayYA 資訊站 <bbs.sayya.org>
◆ From: kendlee.sayya.org
--
我愛用UD
我希望Blizzard可以讓nec招換出來的骷髏兵強壯一點
最好身高一米九 一拳三百磅
不然骷髏兵實在太廢~
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 58.114.194.182
... <看更多>