iptables 网络管理器(iptables限制ip访问)

网友投稿 463 2022-09-14


iptables 网络管理器(iptables限制ip访问)

前些日子,组长要我实现一个功能,将告警邮件中的不能访问的生产机器ip+端口转化为办公环境可以访问的域名(已经通过端口映射配置)。报警程序是用go语言编写的,如果直接将go语言配置文件中的ip+端口变成域名的话,程序就不能正常运行了,可linux的hosts文件不支持直接将域名解析到端口映射的级别(顺便说一句windows好像可以,即hostname可以在windows的hosts文件中解析为1.2.3.4:1234这种形式)。

于是大概想的这种策略:

1.将linux机器上的/etc/hosts中添加域名到ipA的配置;

2.想办法将ipA对80端口的访问重新定向到ipA的指定端口(比如520)。

第一步好做,但是第二步呢?用Apache端口映射功能?还要在装个apache web server;于是想到了linux自带的iptables。

很多搭建过rac、dg、hadoop这类需要多台机器协同工作的程序的朋友应该都接触过iptables,而且通常都是iptables -F,清空管理规则,达到关闭防火墙的效果。其实防火墙只能说是iptables的一部分功能,感觉更准确的说iptables是一个网络管理工具,不仅能够将机器接收到的网络数据丢弃或者接受,还可以进行其他操作比如转发、记录日志等等。

iptables的大体结构就像下面这的图展示的(图片来自互联网)

主要这么看这张图:

1.iptables的规则可以在五个地方(这里专业叫法叫做链)起作用:路由规则之前(prerouting)、转发过程中(forward)、路由规则之后(postrouting)、程序处理之前(input)、程序处理之后(output);

2.iptables主要有这三种功能(这里可以叫做三张表,毕竟规则就像数据库中的记录记录在数据表一样记录在这):地址转化(nat)、包过滤(filter)、修改包(mangle)(raw用的不多,不是很懂,在网上看了一下好像是优先级高,可以避免nat等规则匹配提高效率)。

以perrouting为例,在这里可以通过iptables的一系列规则匹配,对发送过来的数据包进行修改或者地址转化;以forward为例,在经过路由表匹配发现目标机器不是这台机器的时候,可以对数据包修改或者过滤其他的就不重复说明了。

下面说说iptables的语法(图片来自互联网)

大体语法是这样的

iptables -t 指明哪张表 -(A追加,I插入等等) 链名 匹配规则 特定操作(redirect、drop、accept等等)

以上面的需求来看,现在我想在访问80端口的时候,将访问重新定向到520端口。那么就可以在prerouting的时候,将访问本机80端口的数据包变成访问本机520端口的数据包

于是以root用户执行如下命令

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRET --to-port 520

这样就达到想要的效果,即在go语言中配置域名,但是仍然能够访问正确的ip+端口。


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:SNMP协议开发概念理解-1(snmp协议的组成)
下一篇:基于spring data jpa @query返回map的踩坑记录
相关文章

 发表评论

暂时没有评论,来抢沙发吧~