iptables的備份和還原

1、寫在命令行當(dāng)中的都是臨時(shí)設(shè)置

2、把規(guī)則配置寫在服務(wù)的文件當(dāng)中，形成永久有效

備份：把iptables里面所有的配置都保存在/opt/ky30.bak中

iptables-save? >? /opt/ky30.bak

例：

默認(rèn)配置文件在/etc/sysconfig/iptables中

把原有的策略覆蓋

例：

?把備份在/opt/ky30.bak的策略重定向輸出到/etc/sysconfig/iptables.config中

一鍵導(dǎo)入

導(dǎo)入配置也是臨時(shí)設(shè)置，永久生效要寫在/etc/sysconfig/iptables中

備份

自定義鏈（可以自己自定義一個(gè)鏈名，用的比較少都是也會(huì)用到）

1、創(chuàng)建自定義鏈? ? -N

例：

?沒有指定表名，默認(rèn)在filter表中添加一個(gè)自定義鏈

給自定義鏈改名，把lp改成hp? ? ? ?iptables ?-E? ?原鏈名? 新鏈名??

例：?

為自定義鏈添加規(guī)則：

?創(chuàng)建在自定義鏈中的規(guī)則需要添加到默認(rèn)鏈當(dāng)中，才能夠使用

刪除自定義鏈：

?

?自定義鏈的規(guī)則被默認(rèn)鏈?zhǔn)褂?#xff0c;要先在默認(rèn)鏈中刪除，再把自定義鏈當(dāng)中的規(guī)則刪除，最后才能把自定義鏈刪除

重點(diǎn)：SNAT和DNAT（源地址轉(zhuǎn)換和目標(biāo)地址轉(zhuǎn)換）

內(nèi)網(wǎng)到外網(wǎng)轉(zhuǎn)換的是源地址

例：內(nèi)網(wǎng)地址192.168.233.21要對(duì)外網(wǎng)地址12.0.0.10進(jìn)行訪問，內(nèi)網(wǎng)地址要進(jìn)行轉(zhuǎn)換，源地址192.168.233.21要轉(zhuǎn)換成10.0.0.10，在用10.0.0.10來對(duì)外網(wǎng)進(jìn)行訪問。

此時(shí)目標(biāo)地址12.0.0.10不變，源地址轉(zhuǎn)換為10.0.0.10，所以是源地址轉(zhuǎn)換

外網(wǎng)到內(nèi)網(wǎng)轉(zhuǎn)換的是目標(biāo)地址

例：外網(wǎng)12.0.0.10要把數(shù)據(jù)返回到內(nèi)網(wǎng)，但是不能直接和內(nèi)網(wǎng)地址進(jìn)行通信，目標(biāo)地址是192.168.233.21，首先要換一個(gè)能和內(nèi)網(wǎng)地址進(jìn)行通信的地址10.0.0.10。

此時(shí)源地址12.0.0.10不變，目標(biāo)地址轉(zhuǎn)換為10.0.0.10，所以說目標(biāo)地址轉(zhuǎn)換

?同一個(gè)網(wǎng)段的內(nèi)網(wǎng)主機(jī)通過網(wǎng)關(guān)服務(wù)器路由器進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換成可以和公網(wǎng)進(jìn)行通信的地址

SNAT又稱源地址轉(zhuǎn)換
源地址轉(zhuǎn)換是內(nèi)網(wǎng)地址向外訪問時(shí)，發(fā)起訪問的內(nèi)網(wǎng)ip地址轉(zhuǎn)換為指定的ip地址
（可指定具體的服務(wù)以及相應(yīng)的端口或端口范圍），這可以使內(nèi)網(wǎng)中使用保留ip地址的主機(jī)訪問外部網(wǎng)絡(luò)，
即內(nèi)網(wǎng)的多部主機(jī)可以通過一個(gè)有效的公網(wǎng)ip地址訪問外部網(wǎng)絡(luò)。

就是把內(nèi)網(wǎng)地址轉(zhuǎn)成指定的IP地址，這個(gè)iP地址可以訪問公網(wǎng)

DNAT：

私網(wǎng)地址只能作為源地址來訪問公網(wǎng)IP，而無法作為目標(biāo)地址被其他主機(jī)訪問
所以DNAT將私網(wǎng)中web服務(wù)器映射到公網(wǎng)IP，使其公網(wǎng)IP作為目標(biāo)地址被公網(wǎng)中主機(jī)進(jìn)行訪問

SNAT/DNAT實(shí)驗(yàn)：

首先準(zhǔn)備三臺(tái)虛擬機(jī)，一臺(tái)對(duì)內(nèi)，一臺(tái)對(duì)外，網(wǎng)關(guān)服務(wù)器的虛擬機(jī)。

關(guān)閉三個(gè)虛擬機(jī)的安全機(jī)制和防火墻

給兩個(gè)對(duì)內(nèi)和對(duì)外的服務(wù)器yum -y install httpd服務(wù)，做網(wǎng)關(guān)服務(wù)器的虛擬機(jī)的這臺(tái)添加一個(gè)網(wǎng)卡。

關(guān)防火墻，關(guān)安全機(jī)制。

此時(shí)網(wǎng)關(guān)服務(wù)器的虛擬機(jī)有兩個(gè)網(wǎng)卡，一個(gè)對(duì)內(nèi)，一個(gè)對(duì)外，將對(duì)外的這臺(tái)設(shè)為僅主機(jī)模式
?

前期準(zhǔn)備工作：

test1：192.168.88.10 內(nèi)網(wǎng)服務(wù)器

test2：192.168.88.20 外網(wǎng)服務(wù)器

ens33 test1的網(wǎng)關(guān)：192.168.88.254

ens36 test2的網(wǎng)關(guān)：12.0.0.254

test3：192.168.88.30 web服務(wù)器

一個(gè)快速多虛擬機(jī)操作功能：在查看-撰寫-撰寫欄

在最低行選‘全部shell”就可以對(duì)多臺(tái)虛擬機(jī)進(jìn)行命令行操作

先在test3進(jìn)行操作

?

?把ip地址和網(wǎng)關(guān)地址改了

安裝httpd服務(wù)并啟動(dòng)服務(wù)

看10和30地址的apache服務(wù)是否正常

在test3中重啟網(wǎng)絡(luò)，xshell會(huì)斷連，要到虛擬機(jī)中進(jìn)行操作

?看ip地址是否修改成功

再到test1中

?

?修改網(wǎng)卡配置

把DNS注釋掉，把網(wǎng)關(guān)地址改為254

重啟網(wǎng)絡(luò)?

再到test2，test2作為網(wǎng)關(guān)服務(wù)器，在test2操作之前要先添加一個(gè)網(wǎng)卡

修改配置文件

?test2作為網(wǎng)關(guān)服務(wù)器，ip地址要配置成test1的網(wǎng)關(guān)地址

把ens33的內(nèi)容復(fù)制到ens36中?

?把名字改成ens36，在把ip地址改為外網(wǎng)地址

修改配置允許test2
進(jìn)行轉(zhuǎn)發(fā)

?開啟test2作為網(wǎng)關(guān)服務(wù)器的轉(zhuǎn)發(fā)功能

使他立即生效不用重啟?

重啟網(wǎng)絡(luò)，進(jìn)入虛擬機(jī)進(jìn)行操作?

看是否修改成功?

?把192.168.88.0這個(gè)網(wǎng)段出來的地址只要通過ens36出去的，都轉(zhuǎn)換成10.0.0.10

檢查一下?

從test1訪問test3，看一下日志

指令解析

?

?

查看一下策略是否存在?