DNS與iptable

一、簡述DNS服務(wù)器原理,并搭建主-輔服務(wù)器

1、DNS服務(wù)器原理

 第一步:客戶機(jī)提出域名解析請求,并將該請求發(fā)送給本地的域名服務(wù)器;

 第二步:當(dāng)本地的域名服務(wù)器收到請求后,就先查詢本地的緩存,如果有該紀(jì)錄項(xiàng),則本地的域名服務(wù)器就直接把查詢的結(jié)果返回;

 第三步:如果本地的緩存中沒有該紀(jì)錄,則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器,然后根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域(根的子域) 的主域名服務(wù)器的地址;

 第四步:本地服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請求,然后接受請求的服務(wù)器查詢自己的緩存,如果沒有該紀(jì)錄,則返回相關(guān)的下級的域名服務(wù)器的地址;

 第五步:重復(fù)第四步,直到找到正確的紀(jì)錄;

 第六步:本地域名服務(wù)器把返回的結(jié)果保存到緩存,以備下一次使用,同時(shí)還將結(jié)果返回給客戶 。

2、DNS服務(wù)器的主從搭建

 二臺(tái)主機(jī),一臺(tái)當(dāng)主服務(wù)器(192.168.27.7/24),一臺(tái)當(dāng)從服務(wù)器(192.168.27.17/24),配置 abc.com?域的主從架構(gòu)

 (1)?在兩臺(tái)主機(jī)上分別安裝BIND服務(wù)

[root@master ~]#yuminstall-y bind? #主服務(wù)器

[root@slave ~]#yuminstall-y bind? ? #從服務(wù)器

 (2)?修改主服務(wù)配置文件 /etc/named.conf

options {//? ? ? listen-on port 53 { 127.0.0.1; };? ? #注釋此項(xiàng)listen-on-v6 port53{ ::1; };

? ? ? ? directory? ? ? "/var/named";

? ? ? ? dump-file"/var/named/data/cache_dump.db";

? ? ? ? statistics-file"/var/named/data/named_stats.txt";

? ? ? ? memstatistics-file"/var/named/data/named_mem_stats.txt";

? ? ? ? recursing-file"/var/named/data/named.recursing";

? ? ? ? secroots-file"/var/named/data/named.secroots";//? ? ? allow-query? ? { localhost; };? ? #注釋此項(xiàng)allow-transfer {192.168.214.17;};? ? #添加此項(xiàng)

...以下省略

 (3)?新建域解析文件 /var/named/abc.com

[root@master ~]# cd /var/named/[root@master named]# vim abc.com

$TTL 1D

@ IN SOA NS1 admin (1 1D 10M 1W 1D)

? ? ? ? NS NS1

NS1? ? A? ? ? 192.168.27.7www? ? A? ? ? 192.168.27.7[root@master named]# chown root:named abc.com

[root@master named]# chmod640abc.com

 (4)?在主服務(wù)器上域文件?/etc/named.rfc1912.zones?中添加"abc.com"域

[root@master named]# vim /etc/named.rfc1912.zones

#添加以下內(nèi)容

zone "abc.com" IN {

? ? ? ? type master;

? ? ? ? file"abc.com";};

 (5)?配置從服務(wù)器主配置文件 /etc/named.conf,并在從服務(wù)器的域文件?/etc/named.rfc1912.zones?中添加域信息

[root@slave ~]# vim /etc/named.conf

options {//? ? ? listen-on port 53 { 127.0.0.1; };? ? #注釋此項(xiàng)listen-on-v6 port53{ ::1; };

? ? ? ? directory? ? ? "/var/named";

? ? ? ? dump-file"/var/named/data/cache_dump.db";

? ? ? ? statistics-file"/var/named/data/named_stats.txt";

? ? ? ? memstatistics-file"/var/named/data/named_mem_stats.txt";

? ? ? ? recursing-file"/var/named/data/named.recursing";

? ? ? ? secroots-file"/var/named/data/named.secroots";//? ? ? allow-query? ? { localhost; };? ? #注釋此項(xiàng)allow-transfer {none;};? ? #添加此項(xiàng)

...省略以下

#添加域信息如下

[root@slave ~]# vim /etc/named.rfc1912.zones

zone "abc.com" IN {

? ? ? ? type slave;

? ? ? ? masters {192.168.27.7;};

? ? ? ? file"slaves/abc.com.slave";

};

 (6)?啟動(dòng)主從服務(wù)器的DNS服務(wù),并測試

[root@master ~]# systemctl start named

[root@slave ~]# systemctl start named

[root@master ~]# dig www.abc.com @192.168.27.7#主服務(wù)器可以解析

; <<>> DiG9.9.4-RedHat-9.9.4-72.el7 <<>> www.abc.com @192.168.27.7;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR,id:18897;; flags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp:4096;; QUESTION SECTION:

;www.abc.com.? ? ? ? ? ? IN? ? A

;; ANSWER SECTION:

www.abc.com.? ? ? ? 86400IN? ? A192.168.27.7;; AUTHORITY SECTION:

abc.com.? ? ? ? 86400? ? IN? ? NS? ? NS1.abc.com.

;; ADDITIONAL SECTION:

NS1.abc.com.? ? ? ? 86400IN? ? A192.168.27.7;; Query time:2 msec

;; SERVER: 192.168.27.7#53(192.168.27.7)

;; WHEN: Tue Feb 0407:04:59CST2020;; MSG SIZE? rcvd: 90[root@master named]# dig www.abc.com @192.168.27.17#從服務(wù)器也可以解析

; <<>> DiG9.9.4-RedHat-9.9.4-72.el7 <<>> www.abc.com @192.168.27.17;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR,id:55308;; flags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp:4096;; QUESTION SECTION:

;www.abc.com.? ? ? ? ? ? IN? ? A

;; ANSWER SECTION:

www.abc.com.? ? ? ? 86400IN? ? A192.168.27.7;; AUTHORITY SECTION:

abc.com.? ? ? ? 86400? ? IN? ? NS? ? NS1.abc.com.

;; ADDITIONAL SECTION:

NS1.abc.com.? ? ? ? 86400IN? ? A192.168.27.7;; Query time:2 msec

;; SERVER: 192.168.27.17#53(192.168.27.17)

;; WHEN: Tue Feb 0407:05:23CST2020;; MSG SIZE? rcvd: 90[root@slave ~]# ll /var/named/slaves/? ? #從服務(wù)器也自動(dòng)生成了域解析文件

total 4-rw-r--r--1named named225Feb407:03abc.com.slave

二、搭建并實(shí)現(xiàn)智能DNS

 二臺(tái)主機(jī),一臺(tái)作為智能DNS服務(wù)器,有兩個(gè)網(wǎng)段,NAT(192.168.27.7/24),橋接(192.168.0.104/24),一臺(tái)客戶端,NAT(192.168.27.17/24),橋接(192.168.0.105/24),域?yàn)?def.com ,假設(shè)通過192.168.27.0/24網(wǎng)段訪問DNS服務(wù)器,則智能解析到 1.1.1.1,通過192.168.0.0/24網(wǎng)段訪問DNS服務(wù)器,則智能解析到 2.2.2.2,其它網(wǎng)段的解析到 3.3.3.3

 (1)在作為DNS服務(wù)器上安裝BIND服務(wù)

[root@centos7 ~]#yuminstall-y bind

 (2)在DNS服務(wù)器上主配置文件/etc/named.conf中配置 acl?和?view

[root@centos7 ~]# vim /etc/named.conf

acl net27 {? ?

? ? ? ? 192.168.27.0/24;

};

acl net0 {

? ? ? ? 192.168.0.0/24;

};

acl othernet {

? ? ? ? any;

};

options {//? ? ? listen-on port 53 { 127.0.0.1; };? ? #注釋此項(xiàng)listen-on-v6 port53{ ::1; };

? ? ? ? directory? ? ? "/var/named";

? ? ? ? dump-file"/var/named/data/cache_dump.db";

? ? ? ? statistics-file"/var/named/data/named_stats.txt";

? ? ? ? memstatistics-file"/var/named/data/named_mem_stats.txt";

? ? ? ? recursing-file"/var/named/data/named.recursing";

? ? ? ? secroots-file"/var/named/data/named.secroots";//? ? ? allow-query? ? { localhost; };? ? #注釋此項(xiàng)...中間省略

logging {

? ? ? ? channel default_debug {

? ? ? ? ? ? ? ? file"data/named.run";

? ? ? ? ? ? ? ? severity dynamic;

? ? ? ? };

};

#此處添加view,并將 zone "."IN 這段移入/etc/named.rfc1912.zones 文件中

view view_net27{

? ? ? ? match-clients { net27;};

? ? ? ? include "/etc/named.rfc1912.zones.net27";

};

view view_net0{

? ? ? ? match-clients { net0;};

? ? ? ? include "/etc/named.rfc1912.zones.net0";

};

view view_other{

? ? ? ? match-clients { othernet;};

? ? ? ? include "/etc/named.rfc1912.zones";

};

include "/etc/named.root.key";

 (3)?創(chuàng)建以上view中的include的配置域文件

[root@centos7 ~]# vim /etc/named.rfc1912.zones.net27

zone "def.com" IN {

? ? ? ? type master;

? ? ? ? file"def.com.zone.net27";

};

[root@centos7 ~]# vim /etc/named.rfc1912.zones.net0

zone "def.com" IN {

? ? ? ? type master;

? ? ? ? file"def.com.zone.net0";

};

[root@centos7 ~]# vim /etc/named.rfc1912.zones

zone "def.com" IN {

? ? ? ? type master;

? ? ? ? file"def.com.zone.othernet";

};

#以下為/etc/named.conf 移入的段

zone "." IN {

? ? ? ? type hint;

? ? ? ? file"named.ca";

};

...以下省略

(4)?創(chuàng)建上一步中的解析文件

[root@centos7 ~]# vim /var/named/def.com.zone.net27

$TTL 1D

@ IN SOA ns1 admin (1 1H 1H 1D 3H)

? ? ? ? NS ns1

ns1? ? A? ? ? 192.168.27.7www? ? A? ? ? 1.1.1.1[root@centos7 ~]# vim /var/named/def.com.zone.net0

$TTL 1D

@ IN SOA ns1 admin (1 1H 1H 3D 3H)

? ? ? ? NS ns1

ns1? ? A? ? ? 192.168.27.7www? ? A? ? ? 2.2.2.2[root@centos7 ~]# vim /var/named/def.com.zone.othernet

$TTL 1D

@ IN SOA ns1 admin (1 1H 1H 1D 3H)

? ? ? ? NS ns1

ns1? ? A? ? ? 192.168.27.7www? ? A? ? ? 3.3.3.3

 (5)?配置解析文件的相關(guān)權(quán)限,并啟動(dòng)DNS服務(wù)

[root@centos7 ~]# cd /var/named/[root@centos7 named]# chown:named def.com.zone.*[root@centos7 named]# chmod640def.com.zone.*[root@centos7 named]# ll def.com.zone.*-rw-r-----1root named84Feb418:07 def.com.zone.net0-rw-r-----1root named84Feb418:06 def.com.zone.net27-rw-r-----1root named84Feb418:09 def.com.zone.othernet

[root@centos7 named]# systemctl start named

(6)?在客戶端上測試

[root@centos7-17~]# dig www.def.com @192.168.27.7#測試通過192.168.27.0/24網(wǎng)段訪問,可以看到解析到1.1.1.1了;<<>> DiG9.9.4-RedHat-9.9.4-72.el7 <<>> www.def.com @192.168.27.7;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR,id:40379;; flags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp:4096;; QUESTION SECTION:

;www.def.com.? ? ? ? ? ? IN? ? A

;; ANSWER SECTION:

www.def.com.? ? ? ? 86400IN? ? A1.1.1.1;; AUTHORITY SECTION:

def.com.? ? ? ? 86400? ? IN? ? NS? ? ns1.def.com.

;; ADDITIONAL SECTION:

ns1.def.com.? ? ? ? 86400IN? ? A192.168.27.7;; Query time:2 msec

;; SERVER: 192.168.27.7#53(192.168.27.7)

;; WHEN: Tue Feb 0418:15:32CST2020;; MSG SIZE? rcvd: 90[root@centos7-17~]# dig www.def.com @192.168.0.104#測試通過192.168.0.0/24訪問,解析到2.2.2.2了;<<>> DiG9.9.4-RedHat-9.9.4-72.el7 <<>> www.def.com @192.168.0.104;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR,id:1252;; flags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp:4096;; QUESTION SECTION:

;www.def.com.? ? ? ? ? ? IN? ? A

;; ANSWER SECTION:

www.def.com.? ? ? ? 86400IN? ? A2.2.2.2;; AUTHORITY SECTION:

def.com.? ? ? ? 86400? ? IN? ? NS? ? ns1.def.com.

;; ADDITIONAL SECTION:

ns1.def.com.? ? ? ? 86400IN? ? A192.168.27.7;; Query time:1 msec

;; SERVER: 192.168.0.104#53(192.168.0.104)

;; WHEN: Tue Feb 0418:16:04CST2020;; MSG SIZE? rcvd: 90[root@centos7 named]# dig www.def.com @127.0.0.1#在DNS服務(wù)器上測試不通以下兩個(gè)網(wǎng)段訪問,解析到了3.3.3.3; <<>> DiG9.9.4-RedHat-9.9.4-72.el7 <<>> www.def.com @127.0.0.1;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR,id:1314;; flags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp:4096;; QUESTION SECTION:

;www.def.com.? ? ? ? ? ? IN? ? A

;; ANSWER SECTION:

www.def.com.? ? ? ? 86400IN? ? A3.3.3.3;; AUTHORITY SECTION:

def.com.? ? ? ? 86400? ? IN? ? NS? ? ns1.def.com.

;; ADDITIONAL SECTION:

ns1.def.com.? ? ? ? 86400IN? ? A192.168.27.7;; Query time:1 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Tue Feb 0418:17:28CST2020;; MSG SIZE? rcvd: 90



三、使用iptable實(shí)現(xiàn): 放行ssh,telnet, ftp, web服務(wù)80端口,其他端口服務(wù)全部拒絕

iptables -A INPUT -p tcp -s 0/0 --dport 23 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 443 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 23 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 20 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 443 -j ACCEPT

iptables -P INPUT DROP

iptables -P OUTPUT DROP

service iptables save

service iptables restart

iptables多端口允許

iptables -I INPUT -s 10.10.10.1/32 -p tcp -m tcp -m multiport --dports 20,21,2000:2500 -j ACCEPT


四、NAT原理總結(jié)

4.1 NAT的產(chǎn)生

由于網(wǎng)絡(luò)的飛速發(fā)展和網(wǎng)絡(luò)應(yīng)用的極速增多,致使IPv4可用地址空間逐漸枯竭。盡管IPv6可以在根本上解決地址枯竭問題,但I(xiàn)Pv4發(fā)展到IPv6還需要一個(gè)過渡,而這便產(chǎn)生了NAT。

4.2 NAT的作用

IP地址分為公網(wǎng)IP與私網(wǎng)IP。一般情況下,在互聯(lián)網(wǎng)中,公網(wǎng)IP可直接訪問,私網(wǎng)IP無法直接訪問。而NAT則是將私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址(將IP報(bào)文頭部的私網(wǎng)IP地址改為可以提供訪問的公網(wǎng)IP地址),從而實(shí)現(xiàn)用戶上網(wǎng)功能或服務(wù)器在互聯(lián)網(wǎng)上提供服務(wù)。NAT還可以使得一個(gè)公網(wǎng)IP代表多個(gè)不同的內(nèi)網(wǎng)IP,這樣便節(jié)省了IP地址資源。

4.3 NAT的類型與分類

NAT分為靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換、端口轉(zhuǎn)換

靜態(tài)轉(zhuǎn)換:私有地址與公有地址進(jìn)行一對一的映射。這種一對一映射無法緩解可用公有地址短缺的問題。

動(dòng)態(tài)轉(zhuǎn)換:私有地址與公有地址進(jìn)行一對多的映射。首先建立公有地址地址池,私有地址向外通信時(shí),會(huì)從公有地址地址池中選擇非在用的公有地址進(jìn)行映射,當(dāng)通信結(jié)束時(shí),釋放映射關(guān)系,公有地址重新恢復(fù)到地址池中待用。弊端:若私有地址向外通信,而公有地址地址池中無可用公有地址時(shí),會(huì)等待公有地址釋放后在進(jìn)行通信。

端口轉(zhuǎn)換:在大多數(shù)網(wǎng)絡(luò)中,一般都使用的是IP上的某個(gè)端口(如80、443、3389等),所以不需要進(jìn)行全地址映射,只需要私有地址端口映射到公有地址端口上,直接訪問公有地址加端口號(hào)的形式便可以。這樣可以使得一個(gè)公有地址可以對應(yīng)多個(gè)私有地址,從而大大緩解了公有地址緊缺的問題。

Easy IP:為小型網(wǎng)絡(luò),一般為家庭、小型網(wǎng)吧、辦公室等內(nèi)部主機(jī)不多的地方。通過撥號(hào)方式獲取一個(gè)臨時(shí)公網(wǎng)IP地址進(jìn)行外網(wǎng)的訪問。

4.4 擴(kuò)展:SNAT與DNAT區(qū)別

SNAT是私網(wǎng)訪問外網(wǎng)時(shí),報(bào)文中源IP地址(私網(wǎng)IP地址)轉(zhuǎn)換為公網(wǎng)IP地址過程。此轉(zhuǎn)換可以使用靜態(tài)、動(dòng)態(tài)等轉(zhuǎn)換方式,且內(nèi)部的多臺(tái)主機(jī)共用同一公網(wǎng)IP地址進(jìn)行外網(wǎng)訪問。

DNAT是外網(wǎng)訪問私網(wǎng)時(shí),報(bào)文中目的IP地址(公網(wǎng)IP地址)轉(zhuǎn)換為私網(wǎng)IP地址過程。此轉(zhuǎn)換過程可以使用靜態(tài)、動(dòng)態(tài)、端口等轉(zhuǎn)換方式。

4.5 實(shí)例

公司(有固定公網(wǎng)IP地址)上網(wǎng)訪問某網(wǎng)站簡易過程

PC訪問www.xxxxxxx.com,由于存在域名會(huì)通過DNS服務(wù)器解析域名從而獲得公網(wǎng)IP地址。

PC收到此網(wǎng)站的公網(wǎng)IP地址后,封裝數(shù)據(jù)。源IP為PC的IP地址;目的地址為解析獲得的公網(wǎng)IP地址;目的端口號(hào)為80。并且將此報(bào)文發(fā)送給網(wǎng)關(guān)設(shè)備, 網(wǎng)關(guān)設(shè)備收到數(shù)據(jù)報(bào)文后通過路由關(guān)系發(fā)送到出口設(shè)備。

出口設(shè)備配置有NAT轉(zhuǎn)換關(guān)系,將報(bào)文中的源IP地址轉(zhuǎn)換為公網(wǎng)IP地址。重新封裝數(shù)據(jù)報(bào)文后發(fā)出。(這一步為SNAT)

數(shù)據(jù)報(bào)文到達(dá)公有網(wǎng)絡(luò)上,由于目的IP地址為公網(wǎng)IP地址,通過公網(wǎng)路由關(guān)系轉(zhuǎn)發(fā)到網(wǎng)站端(服務(wù)端)。

服務(wù)端收到報(bào)文后,檢查到目的地址為公網(wǎng)IP地址。通過本端配置的NAT映射關(guān)系,與公網(wǎng)IP地址相匹配的映射關(guān)系中尋找私網(wǎng)IP地址。找到映射關(guān)系后,將目的地址轉(zhuǎn)換為私網(wǎng)IP地址(這一步為DNAT)。在通過內(nèi)部網(wǎng)絡(luò)路由關(guān)系將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)至相應(yīng)的服務(wù)器。

服務(wù)器將收到的報(bào)文通過相關(guān)計(jì)算,重新封裝報(bào)文,發(fā)送給用戶PC。原理不變,經(jīng)過多次數(shù)據(jù)交互。最后用戶PC接收到數(shù)據(jù)報(bào)文,網(wǎng)站就被打開了。


五、iptables實(shí)現(xiàn)SNAT和DNAT,并對規(guī)則持久保存

實(shí)現(xiàn)SNAT和DNAT都需要開啟內(nèi)核數(shù)據(jù)轉(zhuǎn)發(fā)功能

[root@localhost ~]# vim /etc/sysctl.conf# 把下列選項(xiàng)改正1net.ipv4.ip_forward=0...net.ipv4.ip_forward=1

5.1 SNAT

基于nat表的target,適用于固定的公網(wǎng)IP

SNAT選項(xiàng):

--to-source [ipaddr[-ipaddr]][:port[-port]]

--random

語法:

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

范例:

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.122.103

5.2 DNAT

nat表的target,適用于端口映射,即可重定向到本機(jī),也可以支持重定向至不同主機(jī)的不同端口,但不支持多目標(biāo),即不支持負(fù)載均衡功能

DNAT選項(xiàng):

--to-destination [ipaddr[-ipaddr]][:port[-port]]

DNAT語法:

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --todestination InterSeverIP[:PORT]

范例:

[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.122.103 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.6:80

5.3 iptables規(guī)則持久保存:

CentOS 7、8

iptables-save>/PATH/TO/SOME_RULES_FILE

CentOS 6

# 將規(guī)則覆蓋保存至/etc/sysconfig/iptables文件中service iptables save

5.4 加載規(guī)則

5.4.1 CentOS 7、8 重新載入預(yù)存規(guī)則文件中規(guī)則:

iptables-restore</PATH/FROM/SOME_RULES_FILE

iptables-restore選項(xiàng)

-n, --noflush:不清除原有規(guī)則

-t, --test:僅分析生成規(guī)則集,但不提交

5.4.2 CentOS 6:

service iptables? restart? ? ? #會(huì)自動(dòng)從/etc/sysconfig/iptables 重新載入規(guī)則

5.5 開機(jī)自動(dòng)重載規(guī)則

5.5.1 用腳本保存各iptables命令;讓此腳本開機(jī)后自動(dòng)運(yùn)行

/etc/rc.d/rc.local文件中添加腳本路徑 /PATH/TO/SOME_SCRIPT_FILE

用規(guī)則文件保存各規(guī)則,開機(jī)時(shí)自動(dòng)載入此規(guī)則文件中的規(guī)則

在/etc/rc.d/rc.local文件添加

iptables-restore</PATH/FROM/IPTABLES_RULES_FILE

5.5.2 定義Unit File, CentOS 7,8 可以安裝 iptables-services 實(shí)現(xiàn)iptables.service

范例: CentOS 7,8 使用 iptables-services

[root@centos8 ~]# yum -y install iptables-services

[root@centos8 ~]# cp /etc/sysconfig/iptables{,.bak}

#保存現(xiàn)在的規(guī)則到文件中方法1

[root@centos8 ~]# /usr/libexec/iptables/iptables.init save

#保存現(xiàn)在的規(guī)則到文件中方法2

iptables-save > /etc/sysconfig/iptables

#開機(jī)啟動(dòng)

[root@centos8 ~]# systemctl enable iptables.service

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容