環境:
Centos 6.8-1
VMware模擬方法,將一張網卡設置爲VMnet1,一張設置爲橋接
(橋接設備)eth0 :
IP地址:192.168.199.55
子網掩碼:255.255.255.0
網關:192.168.199.1
(VMnet1)eth1:
IP地址:192.168.43.129
子網掩碼:255.255.255.0
Centos 6.8-2
VMware模擬方法,將一張網卡設置爲VMnet1
(VMnet1)eth0:
IP地址:192.168.43.128
子網掩碼:255.255.255.0
網關:192.168.43.129
iptables的結構:
Iptables用於建立,維護和檢查IPv4數據包的表過濾規則在Linux內核中。 可以定義幾個不同的表。 每個表包含多個內置鏈,並且還可以包含用戶 - 定義鏈。每個鏈是可以匹配一組數據包的規則列表。 每個規則指定如何處理匹配的數據包。 這被稱爲“目標”, 這可能是在同一個表中跳轉到用戶定義的鏈。
iptables的表與鏈:
iptables具有4張內建表Filter,NAT,Mangle,Raw
Filter表示iptables默認的表
例:
iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
等同於
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
1、Filter表中有3個鏈:
INPUT鏈:處理來自外部的數據,理解爲過濾進入linux系統的數據
OUTPUT鏈:處理準備向外發送的數據,理解爲是否允許一些數據包去別的網絡,比如公網
FORWARD鏈:將數據轉發到本機的其他網卡設備上
2、NAT表
PREROUTING鏈:處理到達本機,但並沒有路由出去的數據包,它會改變數據包中的目標IP地址DNAT
POSTROUTING鏈:處理即將向外發送的數據包,它會改變數據包中的源IP地址SNAT
OUTPUT鏈:處理本機產生的數據包
3、Mangle表
Mangle表用於指定如果處理數據包,它能改變TCP頭中的Qos位。Mangle表具有5個內建鏈:
PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING
4、Raw表
Raw表用於處理異常,內含2個內建鏈
PREROUTING 鏈
OUTPUT鏈
操作步驟:
Centos6.8-1
1、開啓內核轉發功能
vim /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
2、使參數生效
sysctl -p
3、查看iptables現有的規則
查看默認表Filter的FORWARD鏈
....................
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
......................
4、刪除Filter表中的FORWARD鏈中的REJECT規則,做實驗也不管嚴不嚴謹了,工作中謹慎謹慎再謹慎。
iptables -t filter -D FORWARD -j REJECT service iptables save iptables -L
5、添加轉發規則
iptables -t nat -I POSTROUTING -s 192.168.43.0/24 -j SNAT --to-source 192.168.199.55 service iptables save
6、在Centos6.8-2上修改網卡參數
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.43.128
NETMASK=255.255.255.0
GATEWAY=192.168.43.129
DNS1=202.101.172.35
DNS2=8.8.8.8
7、測試Centos6.8-1和Centos6.8-2的連通性
ping 192.168.43.129
8、查看本地的默認網關是否爲192.168.43.129
rount -n
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.43.129 0.0.0.0 UG 0 0 0 eth0
9、測試能ping通Centos6.8-1的路由網關
ping 192.168.199.1
10、測試能否ping通外網
ping 114.114.114.114
11、測試能否正確解析域名
ping www.vperson.win
12、以上測試都通過,即完成實驗。