保存防火墙规则+NAT

iptables-save > 保存规则的文件    #保存规则iptables-restore  <  保存的规则文件   #重新导入规则iptables-save > /data/iptables_rule  #输出重定向生成备份文件iptables-restore  </data/iptables_rule  #输出重定向导入配置# 放到下面三个文件下。建议放在rc.local下，其他两个需要登录才能生效~ /.bashrcvim /etc/profilevim  /etc/rc.d/rc.localchmod +x  /etc/rc.d/rc.localIPtables-servicesyum -y install iptables-servicescp  /etc/syscnfig/iptables{,.bak}  #保存现在的规则到文件中方法1/usr/libexec/iptables/iptables.init save  #保存现在的规则到文件中方法2iptables-save  > /etc/sysconfig/iptables   #开启启动enable iptables.servicsystemctl mask  firewalld.service nftables.service

自定义链#

类似函数，将类型相同的 规则 放入一个自定义链中

-N ：new  #自定义一条新的规则链-E  #重命名自定义链：引用计数不为0的自定义链不能够被重命名，也不能删除-X ：delete #删除自定义的空的规则链-P ：policy #设置默认策略删除必须清空所有规则才可以删除

NAT

网关服务器开启路由功能

请求报文：修改源/目标IP，

响应报文：修改源/目标IP，根据跟踪机制自动实现

NAT的实现分为下面类型#

SNAT：source NAT ，支持POSTROUTING, INPUT，让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装,请求报文：修改源IP

DNAT：destination NAT 支持PREROUTING , OUTPUT，把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP,请求报文：修改目标IP

sysctl  -a  #列出所有的内核参数sysctl -a | grep forward  #过滤 看到默认的内核参数/etc/sysctl.conf  #内核参数配置文件sysctl -p #改完文件后重新生效

SNAT#

让内网可以访问外网

SNAT原理与应用:. SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理:源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映射

SNAT转换前提条件: 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启IP路由转发 linxu系统本身是没有转发功能 只有路由发送数据

 #给28 网关服务器添加个网络设备器

 #过滤出默认内核参数。显示0

 #编辑配置文件

 #将默认内核参数改成=1

 #读取修改后的配置

 #切换路径.查看下是否有两个网络

 #复制ifcfg-ens33   到当前目录下 取名为ifcfg-ens36

 #修改ens36网络，将IP地址改为外网网段。网关和dns删除

 #修改ens33 网络，将网关和dns删除

 #重启网络，ens36ip已变成外网IP

 #29服务器安装个httpd

 #开启httpd

#将IP地址和网关改成12网段

 #重启网络，我的xshell会断开连接。

 #在内网中安装个httpd

 #开启httpd

 #内网网关改成网关服务器的IP地址

 #重启网络

#内网连接外网

 #在外网上查看日志，有内网IP连接

#给内网加个规则，将源地址为192.168.19.0段的私网地址全部转化文网关地址

 #内网再次连接外网

 #日志接受个新的IP

DNAT#

让外网可以访问内网

 #基于上述实验，将网关服务的规则snat规则删掉

 #去内网监测httpd日志

 #在nat表里，PREROUTING链里添加规则，监测路由之前的数据流量，只要有从ens36网络流进来的流量 ，并且来访问我的HTTP服务的80端口，那我就要跳转到DNAT,且转换我的内网IP地址。后面可改端口号，默认80.

 #去外网连接内网

 #内网日志监测到有外网连接。

链接：https://www.cnblogs.com/yanrui07/p/17867061.html

                                                             （版权归原作者所有，侵删）

想系统学习网络安全技术？想快速转行网络安全？想成为一名优秀的网络安全工程师？那就来学《八维一体全新安全精英班》！要学就学真技术，扫码立即咨询，前20名还能免费领取试听一份！

原文始发于微信公众号（网络安全资源库）：保存防火墙规则+NAT讲解