RedHat 9上用iptables做NAT閘道器+遠端使用kiwisyslog記錄日誌(轉)
RedHat 9上用iptables做NAT閘道器+遠端使用kiwisyslog記錄日誌(轉)[@more@]RedHat 9上用iptables做NAT閘道器- -我使用中的配置
一、將下列內容加入/etc/rc.local檔案中:eth0綁內網IP eth1綁外網IP
################
[root@RHNAT01 root]# vi /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
route add -net 0.0.0.0 gw 外網閘道器 netmask 0.0.0.0 dev eth1
route add -net 內網網段A gw 內網閘道器 netmask 255.255.240.0 dev eth2
route add -net 220.114.128.0 gw 211.162.0.129 netmask 255.255.224.0 dev eth2
route add -net 內網網段B gw 內網閘道器 netmask 255.255.255.0 dev eth2
route add -net 內網網段C gw 內網閘道器 netmask 255.255.255.0 dev eth2
route add -net 內網網段D gw 內網閘道器 netmask 255.255.0.0 dev eth2
route add -net 內網網段E gw 內網閘道器 netmask 255.255.0.0 dev eth2
####NAT#####
echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 268435456 >/proc/sys/kernel/shmall
echo 268435456 >/proc/sys/kernel/shmmax
echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range
#####
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables --flush INPUT
/sbin/iptables --flush FORWARD
/sbin/iptables --flush POSTROUTING --table nat
/sbin/iptables --policy FORWARD DROP
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段A/19 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段B/18 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段C/24 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段D/24 --jump MASQUERADE
/sbin/iptables --append FORWARD --in-interface eth1 --match state --state ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段A/19 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段B/18 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段C/24 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段D/24 --jump ACCEPT
/sbin/iptables iptables -I FORWARD -m state --state NEW -j LOG --log-level debug
二、日誌儲存
vi /etc/syslog.conf
在原來不動的基礎上新增
#remote net recevie stepup
kern.=debug @*.*.*.X #儲存本地就用此句 -/var/log/iptables.log
*.* @*.*.*.X
至此完成Iptables Nat的配置和遠端日誌傳送設定
幾個命令
################
service syslog restart
Syslog服務重新載入
iptables -L
這個命令會盡可能地以易讀的形式顯示當前正在使用的規則集。比如,它會盡量用檔案/etc/services裡相應的名字表示埠號,用相應的DNS記錄表示IP地址。
但後者可能會導致一些問題,例如,它想盡力把LAN的IP地址(如192.168.1.1)解析成相應的名字。但192.168.0.0/16這個網段是私有的,也就是說,它只能
用在區域網裡,而不能在Internet裡使用,所以它不會被Internet上的DNS伺服器解析。因此,當解析這個地址時,命令就好像停在那兒了。為了避免這種情況
的發生,我們就要使用選項:
iptables -L -n
如果你想看看每個策略或每條規則、每條鏈的簡單流量統計,可以在上面的命令後再加一個verbose標誌,如下:
iptables -L -n -v
不要忘了,iptables -L命令還可以檢視nat表和mangle表的內容哦(更不要忘了,預設的表是filter),只需要使用-t選項,比如我們只想看nat表的規則,就
用下面的命令:
iptables -L -t nat
在/proc裡,可能還有一些檔案你會感興趣。比如,你可以在連線跟蹤記錄表裡看到當前有哪些連線。這個表包含了當前的所有連線,你還可以透過它瞭解到每個
連線處於什麼狀態。要注意,這個表是不能編輯的,即使可以,也不應該更改它。可以用下面的命令檢視這個表:
cat /proc/net/ip_conntrack | less
此命令會顯示當前所有被跟蹤的連線,但要讀懂那些記錄可是有些難度哦。
修正和清空iptables的命令 iptables -D INPUT 10
iptables -F INPUT
iptables --list檢視過濾表
一、將下列內容加入/etc/rc.local檔案中:eth0綁內網IP eth1綁外網IP
################
[root@RHNAT01 root]# vi /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
route add -net 0.0.0.0 gw 外網閘道器 netmask 0.0.0.0 dev eth1
route add -net 內網網段A gw 內網閘道器 netmask 255.255.240.0 dev eth2
route add -net 220.114.128.0 gw 211.162.0.129 netmask 255.255.224.0 dev eth2
route add -net 內網網段B gw 內網閘道器 netmask 255.255.255.0 dev eth2
route add -net 內網網段C gw 內網閘道器 netmask 255.255.255.0 dev eth2
route add -net 內網網段D gw 內網閘道器 netmask 255.255.0.0 dev eth2
route add -net 內網網段E gw 內網閘道器 netmask 255.255.0.0 dev eth2
####NAT#####
echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 268435456 >/proc/sys/kernel/shmall
echo 268435456 >/proc/sys/kernel/shmmax
echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range
#####
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables --flush INPUT
/sbin/iptables --flush FORWARD
/sbin/iptables --flush POSTROUTING --table nat
/sbin/iptables --policy FORWARD DROP
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段A/19 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段B/18 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段C/24 --jump MASQUERADE
/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內網網段D/24 --jump MASQUERADE
/sbin/iptables --append FORWARD --in-interface eth1 --match state --state ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段A/19 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段B/18 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段C/24 --jump ACCEPT
/sbin/iptables --append FORWARD --source 內網網段D/24 --jump ACCEPT
/sbin/iptables iptables -I FORWARD -m state --state NEW -j LOG --log-level debug
二、日誌儲存
vi /etc/syslog.conf
在原來不動的基礎上新增
#remote net recevie stepup
kern.=debug @*.*.*.X #儲存本地就用此句 -/var/log/iptables.log
*.* @*.*.*.X
至此完成Iptables Nat的配置和遠端日誌傳送設定
幾個命令
################
service syslog restart
Syslog服務重新載入
iptables -L
這個命令會盡可能地以易讀的形式顯示當前正在使用的規則集。比如,它會盡量用檔案/etc/services裡相應的名字表示埠號,用相應的DNS記錄表示IP地址。
但後者可能會導致一些問題,例如,它想盡力把LAN的IP地址(如192.168.1.1)解析成相應的名字。但192.168.0.0/16這個網段是私有的,也就是說,它只能
用在區域網裡,而不能在Internet裡使用,所以它不會被Internet上的DNS伺服器解析。因此,當解析這個地址時,命令就好像停在那兒了。為了避免這種情況
的發生,我們就要使用選項:
iptables -L -n
如果你想看看每個策略或每條規則、每條鏈的簡單流量統計,可以在上面的命令後再加一個verbose標誌,如下:
iptables -L -n -v
不要忘了,iptables -L命令還可以檢視nat表和mangle表的內容哦(更不要忘了,預設的表是filter),只需要使用-t選項,比如我們只想看nat表的規則,就
用下面的命令:
iptables -L -t nat
在/proc裡,可能還有一些檔案你會感興趣。比如,你可以在連線跟蹤記錄表裡看到當前有哪些連線。這個表包含了當前的所有連線,你還可以透過它瞭解到每個
連線處於什麼狀態。要注意,這個表是不能編輯的,即使可以,也不應該更改它。可以用下面的命令檢視這個表:
cat /proc/net/ip_conntrack | less
此命令會顯示當前所有被跟蹤的連線,但要讀懂那些記錄可是有些難度哦。
修正和清空iptables的命令 iptables -D INPUT 10
iptables -F INPUT
iptables --list檢視過濾表
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-959502/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 用iptables實現單網路卡做閘道器上網(轉)
- 單網路卡redhat 7.2利用iptables作為簡單閘道器的配置(轉)Redhat
- iptables防火牆如何記錄日誌防火牆
- GNU/Linux和FreeBSD上的NAT閘道器安裝(轉)Linux
- 用iptables實現NAT(轉)
- 工業閘道器應用分享:PLC遠端監控與遠端維護
- 記錄 | 實習日誌 9
- 日誌記錄器
- Janusec應用安全閘道器(WAF閘道器)
- 建立iptables NAT規則(轉)
- NAT iptables防火牆(script)(轉)防火牆
- Redhat9+ADSL+IPTABLES+DHCPD解決方案(轉)Redhat
- ORACLE9i 的透明閘道器的配置 (轉)Oracle
- 從Java 9開始JDK已經提供日誌記錄器JavaJDK
- 記錄騰訊雲使用日誌
- iOS列印日誌到遠端伺服器iOS伺服器
- LoRa無線閘道器在工業溫溼度遠端監測的應用
- 5G工業閘道器的裝置遠端控制應用有哪些?
- php日誌,記錄日誌PHP
- monolog 日誌記錄器解析Mono
- 駭客攻擊日誌記錄(轉)
- 用LINUX做在一張軟盤上的撥號閘道器 (轉)Linux
- 使用Redis記錄系統日誌Redis
- 使用Rsyslog記錄Apache日誌Apache
- 使用 .NET Core 的日誌記錄
- 小米智慧閘道器玩法介紹 小米閘道器怎麼用?
- Redhat9上配置DNS(轉)RedhatDNS
- iptables(三)網路地址轉換NAT
- iptables之NAT埠轉發設定
- python日誌記錄器的配置Python
- 【工業閘道器應用方案】資料庫機房遠端監控如何實現?資料庫
- Asciinema - 終端日誌記錄神器,開發者的福音ASCII
- 使用NAT閘道器輕鬆為單臺雲伺服器設定多個公網IP伺服器
- 串列埠轉發閘道器實現工業裝置資料採集和遠端控制串列埠
- .NET Core使用Nlog記錄日誌
- NAT閘道器之SNAT進階使用(二)構建ECS級別SNAT出網方式
- 遠端同步ERP系統 零遁智慧閘道器使用體驗
- 4G無線數採閘道器在水庫雨情遠端監測中的應用