配置Linux 内核并利用iptables 做端口映射

运维 系统运维
iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。配置Linux 内核后,我们应该利用iptables 做端口映射,把映射做好就能正常工作了,本文讲下他的具体流程!

配置Linux 内核并利用iptables 做端口映射的具体工作如下:

  主机 IP:192.168.1.100

  目标机 IP:192.168.2.101

  要求将到主机 192.168.1.100:11101 的请求映射到内部网目标机的 sshd 服务端口上,即:192.168.2.101:22。

  配置Linux内核(以 2.6.18 为例)

  如果执行 iptable -L 出现以下信息,那么就需要重新配置和编译内核:

  iptables v1.4.2: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)

  Perhaps iptables or your kernel needs to be upgraded.

  配置选项:

  Networking —->

  Networking options —->

  [*] Network packet filtering (replaces ipchains) —>

  Core Netfilter Configuration —>

  <*> Netfilter Xtables support (required for ip_tables)

  IP: Netfilter Configuration —>

  <*> Connection tracking (required for masq/NAT)

  <*> IP tables support (required for filtering/masq/NAT)

  <*> IP range match support

  <*> Packet filtering

  <*> REJECT target support

  <*> Full NAT

  以上配置只为端口映射准备,如果需要其它功能,请根据需要增加相关的配置。

  编译安装内核步骤略过。

  iptabes

  iptables 规则如下:

  iptables -t nat -A PREROUTING -p tcp –dport 11101 -d 192.168.1.100 -j DNAT –to-destination 192.168.2.101:22

#p#

  查看 iptables 规则定义:

  # iptables -t nat -L

  Chain PREROUTING (policy ACCEPT)

  target prot opt source destination

  DNAT tcp – anywhere 192.168.1.100 tcp dpt:11101 to:192.168.2.101:22

  Chain POSTROUTING (policy ACCEPT)

  target prot opt source destination

  Chain OUTPUT (policy ACCEPT)

  target prot opt source destination

  ip_forward

  除此之外,需要在主机上打开 ip 转发以保持连接通道。

  查看是否已打开 ip 转发(1 表示打开):

  cat /proc/sys/net/ipv4/ip_forward

  如果未打开,则用以下命令打开:

  echo 1 > /proc/sys/net/ipv4/ip_forward

  保存设置

  以上 iptables 设置和 ip 转发设置在重启系统之后就会消失,因此如果有需要,请将设置保存。

  保存 iptables 设置:

  /etc/init.d/iptables save

  设置系统启动时自动加载 iptables 设置(以 gentoo 为例):

  rc-update add iptables default

  保存 ip_forward 设置(在 /etc/sysctl.conf 中设置):

  net.ipv4.ip_forward = 1

  安全隐患

  在打开了 ip_forward 后,一般要同时打开 rp_filter (Reverse Path filter),对数据包的源地址进行检查。

  如果在没有打开这个设置,就很容易受到来自内部网的 IP 欺骗。

  打开 rp_filter:

  for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

  保存设置(在 /etc/sysctl.conf 中设置):

  net.ipv4.conf.default.rp_filter = 1

  net.ipv4.conf.all.rp_filter = 1

  测试

  ssh root@192.168.1.100 -p 11101

  看看是不是能够连接到 192.168.2.101 主机上了?

通过上文的描述,我们清楚的知道了配置Linux内核和利用iptables 做端口映射的具体过程,希望对大家有帮助!

【编辑推荐】

责任编辑:赵鹏 来源: 网络转载
相关推荐

2011-03-16 13:09:10

iptables 端口

2011-03-16 10:43:36

2011-03-16 13:29:33

iptables 端口

2011-03-17 13:55:23

iptablesNAT端口映射

2009-09-16 08:49:29

linux端口映射linux端口linux

2011-03-16 12:55:00

iptables 端口

2013-06-07 17:25:46

路由技术路由器

2019-07-25 15:15:54

端口映射服务器

2020-11-19 10:35:19

LinuxWindows端口映射

2021-08-17 00:02:11

LinuxWindows服务器

2009-12-11 17:33:10

2010-08-02 12:00:06

ADSL Modem端口映射

2011-03-16 16:59:46

iptables 映射

2010-09-02 14:47:56

2011-03-17 14:26:45

iptables 端口

2011-08-25 14:35:04

Nth端口映射ftp服务器

2011-03-14 14:40:10

2011-03-17 09:06:58

iptables映射端口

2009-12-02 18:51:11

2009-12-15 16:15:56

点赞
收藏

51CTO技术栈公众号