怎样使用linux的iptables工具进行网络共享

怎样使用linux的iptables工具进行网络共享

在本教程中,我将解释多个设备怎样在linux下共享一个网络连接。目前无线路由器已经成为主流的消费品,从而解决了本文这一问题。这里假设你家中并没有一台无线路由器,不过,你却有一台已经有"猫"和有线网卡的的linux主机。"猫"是以动态公有IP地址的模式连接到互联网,主机的网卡连接到你的交换机或者集线器。其他设备(如linux或者windows的PC或者笔记本)以网桥的形式连接,并且没有连接到互联网。为了共享linux主机的互联网,你必须把主机转换成网关,以便它能实现从其他设备中传送和接受信息。

术语字汇

  • 私有IP地址(路由不可达地址)是一个被用于本地局域网的IP地址(在互联网中不可见)。
  • 公用IP地址(路由可达地址)是一个在互联网中可见的IP地址。
  • IP伪装是一项允许一系列机器通过MASQ网关连接互联网的功能。这些MASQ网关之外的机器在互联网中是不可见的。MASQ之后的机器中任何流入或流出的数据必须经过MASQ网关。
  • 网络地址转换(NAT)是一项通过IP伪装技术可以使私有IP地址访问互联网的功能。

Hardware Requirements

硬件要求

  • 一台有两个接口(一个公有IP地址和其他的私有IP地址)的linux主机,这个主机将被用作网关。
  • 一台或者多台拥有私有IP地址的linux/windows系统的PC或者笔记本。
  • 交换机/集线器(可选)。

教程步骤

接下来的过程需要在linux主机(用于共享的网关)上完成。

1、激活IP转发

为了设置网络共享,你需要在linux主机上更改一个内核参数来使能IP转发功能。内核启动参数设定在/etc/sysctl.conf文件中。

打开这个文件,定位到含有"# net.ipv4.ip_forward = 0"的这一行,移除#号(即取消注释),然后将其值设置为1,改好之后应该和下面的一致。



    

  1. net.ipv4.ip_forward = 1
    2. 



你还要使激活IP转发功能生效,通过执行下面的命令:




    

  1. $ sudo sysctl -w net.ipv4.ip_forward=1
    2. 

  2. $ sudo sysctl -p
    3. 



2、NAT配置


另一个网络共享的重要部分是NAT配置,这可以通过使用iptables的命令,iptables包含四个防火墙的规则表:


    

  • FILTER (默认表格)
    • 

  • NAT
    • 

  • MANGLE
    • 

  • RAW
    • 



这个教程中我们将仅使用两个表格:FILTER和NAT表格。


首先,刷新所有活跃的防火墙的规则。




    

  1. $ sudo iptables -X
    2. 

  2. $ sudo iptables -F
    3. 

  3. $ sudo iptables -t nat -X
    4. 

  4. $ sudo iptables -t nat -F
    5. 



在输入表格中,你需要设置转发链(FORWARD)成可接受的(ACCEPT)目的地,因此所有通过主机的数据包将会被正确的处理。




    

  1. $ sudo iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    2. 

  2. $ sudo iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    3. 



在NAT表中,你必须为你的WAN口启用IP伪装功能,我们假设WAN口协议是ppp0。为了在ppp0接口上使能IP伪造技术,我们使用以下的命令:




    

  1. $ sudo iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE
    2. 



3、配置私有IP地址


在linux主机上的所有配置完成后,你需要配置其他设备(linux/windows的PC或笔记本)的DNS服务器以及默认网关,让它们的数据流可以指向linux主机。注意你不需要在linux主机上设置一个DNS服务器,从其他设备发出的每一个DNS请求都会通过上游的ISP自动转发到linux主机上。


如果你的其他设备上用的系统是linux,你可以通过以下命令来更改他们的默认网关和DNS服务器。假设你的网段是192.168.1.0/24的私有IP地址网段,linux主机上绑定的IP地址是192.168.1.1。




    

  1. $ sudo ip route del default
    2. 

  2. $ sudo ip route add default via 192.168.1.1
    3. 

  3. $ sudo sh -c "echo 'nameserver 192.168.1.1' > /etc/resolv.conf"
    4. 



如果还有其他的linux设备,那么你可以重复以上命令。


如果你有windows设备,你可以通过控制面板的网络连接属性来更改默认网关和DNS服务器。


4、完整的脚本


这是一个在linux主机上设置网络连接共享的一个完整的脚本。WAN口(ppp0协议)需要根据你具体的网络接口协议来替换。




    

  1. $ sudo vi /usr/local/bin/ishare
    2. 







    

  1. #!/bin/bash
    2. 

  2.  
    3. 

  3. ## Internet connection shating script
    4. 

  4.  
    5. 

  5. sysctl -w net.ipv4.ip_forward=1
    6. 

  6. sysctl -p
    7. 

  7. iptables -X
    8. 

  8. iptables -F
    9. 

  9. iptables -t nat -X
    10. 

  10. iptables -t nat -F
    11. 

  11. iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    12. 

  12. iptables -I FORWARD  -m state --state RELATED,ESTABLISHED -j ACCEPT
    13. 

  13. iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE
    14. 



保存以上的脚本为/usr/local/bin/ishare,然后添加可执行权限通过执行下面的命令。




    

  1. $ sudo chmox +x /usr/local/bin/ishare
    2. 



如果你需要这个脚本开机启动,你需要在/etc/rc.local文件中执行这个脚本,并在该文件中的"exit 0"之前添加下面一行。




    

  1. /usr/local/bin/ishare
    2. 



原文发布时间:2014-06-27


本文来自云栖合作伙伴“linux中国”
				


				
时间: 2024-09-24 13:17:41

		
		


		


	

	
	

		


		
怎样使用linux的iptables工具进行网络共享的相关文章


								

		

			

                Linux一键配置工具ezhttp
			

		

		

									

				简介 ezhttp是一个Linux一键配置工具,采用bash脚本语言编写.支持自动配置LAMP,LNMP,LNAMP环境,以前提供各种其它的配置工具,如自动配置swap,配置iptables等.项目托管在github,地址为https://github.com/centos-bz/ezhttp 支持的系统 理论上支持所有Linux系统,但推荐的系统有centos.ubuntu.debian. 功能 支持的套件安装 LNMP:Nginx PHP MySQL LAMP: Apache PHP MyS			

		

	

				

		

			

                RHCSA 系列(十一): 使用 firewalld 和 iptables 来控制网络流量
			

		

		

									

				简单来说,防火墙就是一个基于一系列预先定义的规则(例如流量包的目的地或来源,流量的类型等)的安全系统,它控制着一个网络中的流入和流出流量. RHCSA: 使用 FirewallD 和 Iptables 来控制网络流量 – Part 11 在本文中,我们将回顾 firewalld 和 iptables 的基础知识.前者是 RHEL 7 中的默认动态防火墙守护进程,而后者则是针对 Linux 的传统的防火墙服务,大多数的系统和网络管理员都非常熟悉它,并且在 RHEL 7 中也可以用. Firewal			

		

	

				

		

			

                关于Linux防火墙'iptables'的面试问答
			

		

		

									

				Nishita Agarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验.在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人. Linux防火墙Iptables面试问题 所有的问题和相应的答案都基于Nishita Agarwal的记忆并经过了重写. "嗨,朋友!我叫Nishita Agarwal.我已经取得了理学学士学位,我的专业集中在UNI			

		

	

				

		

			

                Linux防火墙Iptables新手教程(非常的详细)
			

		

		

									

				首先我们要弄明白,防火墙将怎么对待 这些数据包.这些数据包会经过一些相应的规则链,比如要进入你的计算机的数据包会首先进入INPUT链,从我们的计算机发出的数据包会经过 OUTPUT链,如果一台计算机做一个网络的网关(处于内网和外网两个网络连接的两台计算机,这两台计算机之间相互通讯的数据包会经过这台计算机,这台计 算机即相当于一个路由器),可能 会有很多数据经过这台计算机,那么这些数据包必经FORWARD链,FORWARD链即数据转发链.明白了这些"链"的概念我们才能进一步学习使用 ip			

		

	

				

		

			

                Linux 数据可视化工具
			

		

		

									

				Linux 上用来实现数据的图形可视化的应用程序有很多,从简单的 2-D 绘图到 3-D 制图,再到科学图形编程和图形模拟.幸运的是,这方面的工具有很多开放源码实现,包括 gnuplot.GNU Octave.Scilab.MayaVi.Maxima 等.每个工具都有自己的优缺点,并且都是针对不同的应用程序而设计的.对这些开放源码图形可视化工具进行一下探索,有助于我们更好地决定哪个工具最适合我们的应用程序. 内容 Gnuplot GNU Octave Scilab MayaVi Maxima 展			

		

	

				

		

			

                Linux性能分析工具汇总合集
			

		

		

									

				出于对Linux操作系统的兴趣,以及对底层知识的强烈欲望,因此整理了这篇文章.本文也可以作为检验基础知识的指标,另外文章涵盖了一个系统的方方面面.如果没有完善的计算机系统知识,网络知识和操作系统知识,文档中的工具,是不可能完全掌握的,另外对系统性能分析和优化是一个长期的系列. 本文档主要是结合Linux 大牛,Netflix 高级性能架构师 Brendan Gregg 更新 Linux 性能调优工具的博文,搜集Linux系统性能优化相关文章整理后的一篇综合性文章,主要是结合博文对涉及到的原理和性			

		

	

				

		

			

                《深入理解Android:Telephony原理剖析与最佳实践》一2.1 Ubuntu Linux操作系统及工具安装
			

		

		

									

				2.1 Ubuntu Linux操作系统及工具安装 要搭建Android的编译环境,首先要选择好使用什么操作系统.本书选择Ubuntu 10.10桌面版64位Linux操作系统作为编译Android源码的操作系统. 注意 为什么选择使用64位Ubuntu 10.10桌面版的操作系统呢?在搭建Android源代码编译环境的过程中通过对比Ubuntu 10版本和11版本,发现Ubuntu 10更加简单,比如在Ubuntu 11.10采用的GCC和G++ 4.6版本,需要回退到4.4版本,否则会出现编			

		

	

				

		

			

                Linux内核为高级容器网络提供关键技术
			

		

		

									

				本文讲的是Linux内核为高级容器网络提供关键技术[编者的话]本文介绍了一个为容器提供网络解决方案的实验性开源项目Cilium,该项目利用Linux的BPF技术在应用层完成容器的网络策略. [深圳站|3天烧脑式Kubernetes训练营]培训内容包括:Kubernetes概述.架构.日志和监控,部署.自动驾驶.服务发现.网络方案等核心机制分析,进阶篇--Kubernetes调度工作原理.资源管理及源码分析等. 实验性开源项目Cilium使用现有的Linux内核特性为容器提供更快更有力的网络. 容			

		

	

				

		

			

                pyDash:一个基于 web 的 Linux 性能监测工具
			

		

		

									

				pyDash 是一个轻量且基于 web 的 Linux 性能监测工具,它是用 Python 和 Django 加上 Chart.js 来写的.经测试,在下面这些主流 Linux 发行版上可运行:CentOS.Fedora.Ubuntu.Debian.Raspbian 以及 Pidora . 你可以使用这个工具来监视你的 Linux 个人电脑/服务器资源,比如 CPU.内存.网络统计,包括在线用户的进程以及更多.仪表盘完全由主要的 Python 发行版本所提供的 Python 库开发,因此它的依赖