linux永久开启防火墙路由转发

需求：以其中一台linux主机作为服务器，对其他主机提供路由转发功能，实现网络共享。

实现：由于本次学习是在虚拟机中实现，共有两台linux主机，其中作为服务器的linux主机先称作vm1，要共享网络的linux主机称作vm2，vm2为在vm1中建立的虚拟机

环境：redhalt 6.5

 

vm2配置：

    由于是模拟网络共享的客户机，在vm设置里将网络模式改为host-only(仅主机模式)，并记录下vm2的网段。实际需求中只需配置服务器vm1即可

        1.

        2.点击确定保存后，可以看到此时的vm2已无法访问网络。

        3.在虚拟机菜单栏点击 编辑>>>虚拟网络编辑器，可在此查看或编辑你的vm2网段信息。

   

vm1配置(服务器)：

    1.修改/etc/sysctl.conf文件，将配置文件中net.ipv4.ip_forward = 0值改为= 1，开启数据包的转发

        [root@localhost ~]# sysctl -p                                 -----使配置文件生效

        也可直接输入命令：echo 1 >/proc/sys/net/ipv4/ip_forward                               重启会失效

    2.启动防火墙：/etc/init.d/iptables start

    3.依次输入下列两条命令：

        [root@localhost ~]# iptables -S                                         查看红帽防火墙默认的规则链

        [root@localhost ~]# iptables -D FORWARD 1                    删除FORWARD里序号为1的规则

    4.开启地址转换：

        [root@localhost ~]# iptables -t nat -I POSTROUTING -s 192.168.148.0/24 -j MASQUERADE                ----其中的ip段为vm2配置第三步中的ip段，可自定义

    5.至此已搭建完成，只需将vm2设置为该ip段下任一ip即可成功实现访问网络。也可直接通过另外一台设备连接vm1，将ip设置到该网段下即可，vm1并不能自动分配

        [root@oracledb ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0

                IPADDR=

                NETMASK=

                GATEWAY=

 

 

概念补充：

路由表,指的是路由器或者其他互联网网络设备上存储的表，该表中存有到达特定网络终端的路径，在某些情况下，还有一些与这些路径相关的度量。

查看服务器到目标网址经过的ip：traceroute www.baidu.com

查看自己主机上的路由表：route -n

分类：

静态路由表：由系统管理员事先设置好固定的路由表称之为静态（static）路由表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。

动态路由表：动态（Dynamic）路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。路由器通常依靠所建立及维护的路由表来决定如何转发。

在局域网中，主机可以通过广播的方式来进行网络数据包的发送，但是在不同的网段类的主机想要互相连接时就必须通过路由器来实现。

路由器具有判断网络地址和选择IP路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。

转载于:https://my.oschina.net/shaoyu/blog/854330

来源：https://my.oschina.net/shaoyu/blog/854330

原作者删帖   不实内容删帖   广告或垃圾文章投诉

智能推荐

apache开启请求转发

实现访问goto.test，返回内容为purchase.plate.test 修改httpd.conf配置，将下面的两个模块开启 image.png 修改vhost.conf配置，添加转发 image.png 转发的网址后面一定要加反斜杠，否则静态文件不转发。...

转发与路由选择

转发：分组在单一的路由器的一条输入链路中，由路由器将该分组移动到合适的输出链路 路由选择：一个网络中，分组从发送方到接收方时，所采用的路径 举个栗子：如果要从北京到成都 路由选择是：北京->武汉->四川->成都 转发是：你在北京，你要用火车去武汉，而不是上海。...

路由转发功能

一、iptables工具移植 1、交叉编译iptables-1.4.12  ./configure  --prefix=/home/huabiao/bin  --exec-prefix=/home/huabiao/bin  --host=arm  --with- kernel=/home/huabiao/share/HI3520D/linux-3....

路由转发原理

自我总结，以强记忆。 实验图（未配置前） 图1未对PC和路由器端口（默认down）配置IP和下一跳，故无法通信。 先说说配置下一跳的不同方式的区别： 1.下一跳为本路由器的出口接口； 当配置静态路由时使用出口接口做为下一跳时，路由器会认为目标网络和接口处在“直连网络”中，而在直连网络中不同设备间的通信是通过ARP协议广播来获取到要到达的目标主机的MAC地址。故当pc7与pc...

路由转发流程

IP 地址和路由转发 此文档为回忆文档，不会详细解释原理 文章目录 IP 地址和路由转发 一、IP 地址 1.1 作用 1.2 分类 1.3 子网掩码 二、IP地址识别（路由转发） 2.1 路由器转发规则 2.2 最长匹配原则 2.3 路由迭代规则 2.3 缺省路由匹配 一、IP 地址 1.1 作用 IP 地址是用于识别计算机网络位置的地址；（IP 协议处于网络层） MAC 地址是计算机物理地址，...

猜你喜欢

DLINK 企业路由器内网部署web开启端口转发后还需要开启是否支持端口回流功能...

跑后台使用的服务器，配置一般都很低，带宽只有2Mb 一些大型文件比如app的更新包使用这种服务器不可行 但是公司的网络是100Mb对等静态ip专线 所以能利用起来，每年将会省下8万块     说干就干，这个步骤应该不难 我自己用ac88u在家也有搭建web，开启端口转发就可以了 但是这个di-7100死活就是不行， 无奈之下，打客服吧 告知ip端口和用户名密码之后那边设置了一下...

Linux运维之LVS使用NAT(路由转发)模式实现负载均衡

一、lvs-nat模式原理 LVS的转发主要通过修改IP地址 （NAT模式，分为源地址修改SNAT和目标地址修改DNAT）、修改目标MAC（DR模式）来实现。 NAT模式： 网络地址转换 NAT（Network Address Translation）是一种外网和内网地址映射的技术。NAT模式下，网络数据报的进出都要经过LVS的处理。LVS需要作为RS（真实服务器）的网关。当包到达LVS时，LVS...

论坛报名 | 智能信息检索与挖掘的最新进展和挑战

与6位图灵奖得主和100多位专家 共同探讨人工智能的下一个十年 长按图片或点击阅读原文，内行盛会，首次免费注册 2020年6月21-24日，第二届北京智源大会（官网：https://2020.baai.ac.cn）将邀请包括6位图灵奖获得者在内的上百位人工智能领袖，一起回顾过去，展望未来，深入系统探讨“人工智能的下一个十年”。本次大会将开设19个专题论坛，主题涵盖人工智能数...

2021年Java开发者常见面试题，学习路线+知识点梳理

基础 JAVA基础 JAVA集合 JAVA多线程并发 网络 数据结构与算法 框架 Spring SpringMVC MyBatis 设计模式 分布式 负载均衡 Zookeeper Redis MQ/kafka 微服务 Netty与RPC Spring Boot Spring Cloud Dubbo 调优 MySQL JVM Tomcat 最后 即使是面试跳槽，那也是一个学习的过程。只有全面的复习，...

zabbix api 使用，如何看官方文档。

zabbix 提供的丰富的API接口，几乎可以完成所有在zabbix web界面上的 *** 作，实现一个需求我们可以选用不同的API接口，提供多种解决方案。 官方文档说明 官方文档：https://www.zabbix.com/documentation/4.0/zh/manual/api 点击链接会进入到下面的界面，介绍了API的使用以及提供的一些方法和一些示例。 在侧边栏我们可以看到不同的API接口...

相关问题

开启字节

如何使用Python将端口转发到路由器

在过滤查询后，Azure路由未转发到端点

Mikrotik路由器端口转发 - 无法从Web访问

C＃开启枚举

路由器端口转发和HttpContext.Current.Request.URL

Zend_Router，在参数提供时，向indexController /转发路由

使用路由或mod_rewrite是否要转发旧URL？

Winsock客户端端口和路由器端口转发

使用UPnP以编程方式添加端口转发条目进入路由器？

相关文章

windows开启路由转发

Linux 路由转发实验

linux做路由并实现路由转发

Windows 10上开启路由转发及添加路由

Windows 10上开启路由转发及添加路由

Iptables-linux服务器做路由转发

虚拟机中linux系统实现路由转发功能

linux 路由转发及udhcpd的配置上网

linux配置静态路由实现路由转发和quagga实现动态路由实验

OpenWrt路由开启DDNS+端口转发进行外网访问

热门文章

美国W+NMN科普：NMN对肝脏的作用：NMN对肝脏的作用如何？

python 持续集成 教程_dotnet 部署 github 的 Action 进行持续集成|简明python教程|python入门|python教程...

java运行 mavenzip包_java application maven项目打自定义zip包实例(必看)

laravel 8学习记录（1）—— 配置phpstorm开发环境

A Critical Review of Recurrent Neural Networks for Sequence Learning

ngnix支持thinkphp3.2路由重写模式的配置,即URL_MODEL=>2的情况

Rabbit MQ 无法访问到 web 页面

Linux基础_使用基础技巧

C# Owin初探 概念理解

osi七层模型tcp四层模型

推荐文章

【行研资料】2021中国互联网医疗内容行业研究报告——附下载链接

软件测试和评估

SPI Base Knowledge

Idea 添加JDK自带的反编译工具javap

抽象类与接口的区别

JavaScript笔记（5.27）

周志华 机器学习 Day17

声纹识别的三生三世

快速构建Windows 8风格应用34-构建Toast通知

java格子布局怎么设置高度_自动布局：获取UIImageView高度以正确计算单元格高度...

相关标签

环境配置

windows开启路由转发

路由转发

windows

计算机网络

Windows

linux路由

ubuntu

虚拟机

linux

Copyright © 2018-2023 - All Rights Reserved - www.pianshen.com

网站内容人工审核和清理中！本站和cxyzjd等抄袭本站模板的网站没有任何关系，请注意分辨！

本站在春节期间即将改版，对人工核实过的涉及csdn版权文章做删除处理，

仅保留摘要，大家可以点击摘要后面的“查看原文”跳转到csdn查看。改版后的网站不再发布任何和csdn有关的文章，谢谢理解。

由于数据、程序改动较大，加之时间匆忙，本次改版会持续数日，可能会间歇性影响用户访问。

同时由于csdn自身存在大量版权争议文章，例如机器人账号、转载和不实标注原创问题，本次数据改动均采取人工核实，难免有遗漏和偏差，请来信指正。

配置linux下的防火墙的方法，可以通过以下步骤 *** 作来实现：

一、在Linux系统中安装Iptables防火墙

1、Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包：

二、关闭哪些防火墙端口

防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如，如果运行的是Web服务器，则可能需要打开以下端口：

网络：80和443

SSH：通常在端口22上运行

电子邮件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。

1、还原默认防火墙规则

为确保设置无误，需从一套新的规则开始，运行以下命令来清除防火墙中的规则：

2、屏蔽服务器攻击路由

可以运行下列标准命令来隔绝常见的攻击。

屏蔽syn-flood数据包：

屏蔽XMAS数据包：

阻止无效数据包：

3、打开所需端口

根据以上命令可屏蔽常见的攻击方式，需要打开所需端口。下列例子，供参考：

允许SSH访问：

打开LOCALHOST访问权限：

允许网络流量：

允许SMTP流量：

三、测试防火墙配置

运行下列命令保存配置并重新启动防火墙：

Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J Reject

RedHat机器

cat /etc/sysconfig/iptables

*filter

:INPUT ACCEPT [10276:1578052]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [13784:16761487]

-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP

-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP

-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet

# anti Sync Flood

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT

# anti some port scan

-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

# anti ping of death

-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

COMMIT

chkconfig iptables on

以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)

自动启动

或者是/etc/rc.d/init.d/iptables start手工启动

/etc/rc.d/init.d/iptables stop手工停止

在LINUX下架设防火墙

linuxbird

随着Internet的普及，人们的日常工作与之的关系也越来紧密，因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后，企业的内部资源就象待卖的羔羊一样，面临任人宰割的危险，因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。

一、什么是防火墙

防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问，逼使各连接点的通过能得到检查和评估。

从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用 *** 作系统上的防火墙、具有安全 *** 作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全 *** 作系统的软硬件结合的防火墙，象NETEYE、NETSCREEN、TALENTIT等。在LINUX *** 作系统上的防火墙软件也很多，除了下面要专门介绍的IPCHAINS外，还有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墙从结构上讲，可分为两种：

1） 代理主机结构

内部网络<----->代理网关(Proxy Gateway)<----->Internet

2） 路由器加过滤器结构

内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet

二、用IPCHAINS构建局域网防火墙的原理

其实从本质上讲，用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求，或从外部通往内部网的请求，都进行监听、检查、评估、转发、拒绝等动作。

常用的服务、协议与默认端口。

服务类型 协议 端口

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

三、用IPCHAINS作防火墙的步骤

1.安装

IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上，如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持，所以确定已安装了IP-MASQ模块。

在TLC4.0中，把该光盘放入光驱中，

#turbopkg

并选择ipchains，然后按OK就自动自动安装了。

如果你是下载ipchains安装包的话：

1）如果是rpm包：

#rpm –ivh *.rpm

2)如果是.tar.gz包

#tar xvfz *.tar.gz(先把包解开)

再到解开目录

#./configure

#make

#make install

这样就安装成功了。

2.启用ipchains

手工修改 /proc/sys/net/ipv4/ipforward文件，将其内容置为1。

在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件

在/etc/rc.d/目录下的rc.local文件中加上下面这段代码：

if [ -f /etc/rc.d/rc.ipfwadm ]then /etc/rc.d/rc.ipfwadmfi

以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。

3.配置ipchains（基本应用）

ipchains对机器的管理是通过对机器的ip地址作为标志的，因而首先得确保你的局域网的机器的ip地址已经配分配好，并且你对之相当熟悉。

Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的，其中input是指对内连接请求的过滤规则，output是指对外连接请求的过滤规则，ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是：

ipchains [ADC] ipchains规则 [ipchains 选项]。

有关命令的详细用法请参考有关HOWTO文档。

现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为：192.168.1.1，假设目前防火墙是进行代理上网，拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为：

+--------------+

| 内部网段 | 192.168.1.1 ISDN、PSDN

| +------------|firewall|<===============>Internet

| 192.168.1.0 | +--------+

+-------------- +

配置ipchains防火墙规则一般有两种方式：

1） 首先允许所有的包，然后在禁止有危险的包通过防火墙；

2） 首先禁止所有的包，然后再根据所需要的服务允许特定的包通过防火墙。

相比较而言，第二种方式的做法更为安全。

下面是我的rc.ipfwadm的文件内容：

/sbin/depmod –a

/*自动加载所需模块，如果觉得这样有危险，需手动指定安装模块，可以如下面这一小段就是手动指定加载模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp

/*加载ip伪装的ftp模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

/*加载ip伪装的irc模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq*

/*自动加载ip伪装的相关模块*/

ipchains –F

/*刷新所有的ipchains规则*/

ipchains -P forward DENY

/*拒绝转发所有的ip包*/

/*下面允许特定的包通过*/

/*开设权限比较高的主机*/

ipchains -A forward -s 192.168.1.10/32 -j MASQ

/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/

ipchains -A forward -s 192.168.1.12/32 -j MASQ

/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员，在依次添加*/

ipchains -A forward -s 192.168.1.41/32 -j MASQ

/*for example linuxbird的主机地址：192.168.1.41*/

/*某些机器，因需要不能对外连接*/

ipchains -A forward -s 192.168.1.3/32 -j DENY

/*此机器为内部文档专用机，不能访问外部*/

/*设置内部普通用户能访问的站点*/

ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS

ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS

/*这是上网的DNS服务器，本人用的是福州电信局的DNS*/

/*以下是普通用户能访问的站点，根据需要可以对其增删改*/

ipchains -A forward -d 202.101.98.50/32 -j MASQ

/* public.fz.fj.cn*/

ipchains -A forward -d 202.101.98.60/32 -j MASQ

/* pub5.fz.fj.cn*/

ipchains -A forward -d 202.96.44.14/24 -j MASQ

/*freemail.263.net*/

ipchains -A forward -d 202.99.11.120/32 -j MASQ

/*www.linuxaid.com.cn*/

ipchains -A forward -d 205.227.44.44/24 -j MASQ

/* www.oracle.com*/

ipchains -A forward -d 205.227.44.46/32 -j MASQ

/* lliance.oracle.com*/

#ipchains -A forward -d 205.227.44.237/32 -j MASQ

/* support.oracle.com*/

ipchains -A forward -d 209.246.5.38/24 -j MASQ

/* technet.oracle.com*/

ipchains -A forward -d 137.69.200.8/32 -j MASQ

/* www.legato.com*/

ipchains -A forward -d 202.96.125.102/32 -j MASQ

/*www.188.net*/

ipchains -A forward -d 207.105.83.51/32 -j MASQ

/* www.borland.com*/

ipchains -A forward -d 207.46.131.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A forward -d 207.46.130.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A forward -d 204.146.81.99/32 -j MASQ

/* www.ibm.com*/

ipchains -A forward -d 202.102.24.74/24 -j MASQ

/* www.lodesoft.com*/

ipchains -A forward -d 210.77.34.109/32 -j MASQ

/* www.csdn.net*/

ipchains -A forward -d 192.138.151.66/32 -j MASQ

/* www.sybase.com*/

ipchains -A forward -d 202.102.26.1/32 -j MASQ

/* www.nari-china.com*/

ipchains -A forward -d 202.102.26.51/32 -j MASQ

/*www.aeps-info.com*/

ipchains -A forward -d 202.106.185.2/32 -j MASQ

/* www.sohu.com */

……

---