day56-第十三周-iptables(下)
NAT端口转发设置:
1.ICMP协议
简介:
IP协议是一种面向无连接的数据报协议,它是一种不可靠的协议,它不提供任何差错检验。因此网际报文控制协议(Internet Control Message Protocol)ICMP出现了,ICMP协议用于IP主机、路由器之间传递控制消息,这里的控制消息可以包括很多种:数据报错误信息、网络状况信息、主机状况信息等,虽然这些控制消息虽然并不传输用户数据,但对于用户数据报的有效递交起着重要作用,从TCP/IP的分层结构看ICMP属于网络层,它配合着IP数据报的提交,提高IP数据报递交的可靠性。ICMP是封装在IP数据报中进行发送的,从这点看来,ICMP协议又有点像一个传输层协议,其实不然,因为ICMP报文的目的不是目的主机上的某个应用程序,它不为应用程序提供传输服务,ICMP报文的目的是目的主机上的网络层处理软件。简单的来说,ICMP协议就像奔波于网络中的一名医生,它能及时检测并汇报网络中可能存在的问题,为解决网络错误或拥塞提供了最有效的手段
ICMP报文有很多类型,不同的类型有不同的代码。最常用的类型是主动请求为8,主动请求的应答为0。
网络出问题了使用ping命令,ping命令是基于ICMP协议工作的,ICMP报文是封装在IP包里面的。
2.准许或禁止ping
现在是可以ping通的
添加icmp,禁止ping
3.限制访问频率
4.永久保存规则
注意事项:
- iptables-save >/etc/sysconfig/iptables
- iptables 是关闭状态 stop/disable
- 关闭时不要使用iptables -nL查看状态 ,一查看就打开了
- 查看防火墙状态:systemctl is-active iptables
5.生产环境防火墙配置
1.逛公园:防火墙默认的规则 默认规则都是允许(Chain INPUT (policy ACCEPT))
2.电影院:默认规则是拒绝DROP 凭票进入
5.1 允许SSH登录端口进入
5.2 允许机回环Io接口数据流量流出与流入
-i input 与 INPUT链一起使用
-o output 与 OUTPUT 链一起使用
5.3准许icmp协议通过
5.4准许用户使用的端口通过 80,443
5.5 允许用户与服务器建立连接
5.6 开启信任的IP网段
5.7 修改默认规则
查看设置的规则
6.NAT 表
nat表 | |
PREROUTING | 处理用户请求中的目的地址 目的端口 端口转发 ip映射 |
POSTROUTING | 处理离开服务器的请求 源端口 源ip :**共享上网 |
OUTPUT | 和主机放出去的数据包有关,改变主机发出数据包的目的地址 |
保存好之前的规则删除
[root@m01 ~]# iptables-save >/root/iptables.rule[root@m01 ~]# ll iptables.rule -rw-r--r-- 1 root root 969 Jul 3 10:33 iptables.rule
跑机房修改默认规则:
6.1 PREROUTING
6.2 POSTROUTING
去db01上关闭网卡eth0
7.防火墙小结
- 防火墙4表5链
- filter表 实现防火墙功能
- nat 表 PREROUTING实现 端口转发
- nat 表 POSTROUTING链实现 共享上网