本篇主要寫的是關於靜態路由表的新增,和如何讓你不能上網的主機通過火牆路由表實現上網的功能。
靜態路由表:
要是你的主機是2塊網路卡,並且做了網路卡的繫結,依照我下面的方法是成功不了的,你可以去編輯:
# vim /etc/rc.d/rc.local
ip route add 12.0.0.1/24 via 192.168.1.113
sh /etc/rc.d/rc.local //這樣做就行了
下面我們來看常規的路由表的新增:
我的系統預設的路由表、
下面新增一塊路由表:這樣的新增只是臨時的。
檢視下路由表:
當我們重啟網路發現上面的新增都消失了,現在新增永久的靜態路由:預設這個檔案是沒有的我們需要新建,
給那塊網路卡新增就寫那塊網路卡的路由:route-eth0 route-eth1…
重啟網路檢視:
檢視路由表:
通過IPTABLES火牆,讓不能上網的主機實現上網的功能:
測試環境:
3網段可以上網,ping的通外網
雙網路卡的主機一塊為3網段,一塊為4網段,可以上網。
單網路卡的主機位4網段,不可以上網,開啟apache功能。
下面火牆的策略是在雙網路卡的主機上寫的。
[root@apache ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.3.113
標註:在nat表新增策略:將本機出去的包全部轉換成可以上網的網段,POSTROUTING路由之後的意思,-o out出去意思 SNAT源地址轉換 eth0 可以上網 eth1 不可以上網。
[root@apache ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.4.111
把從外網進來的apache的包通過目的地址轉換髮送到4網段。
測試時,客戶端只要是apache的包,都可以看得到。
簡單的來說,就是埠本身不分源埠還是目的埠,只是針對資料包的方向而言,同樣一個埠,既可以作為某項服務監聽外網資料包的目的埠,也可以作為本機傳送連線資料包的源埠。