站点图标 嘟嘟社区

iptables 规则问题


  1. 在母鸡上做dnat,把小鸡的ssh端口暴露出来:
  2. iptables -t nat -A PREROUTING -p tcp -m tcp –dport 16823 -j DNAT –to-destination 192.168.0.4:22

复制代码

这个母鸡重启 规则就失效了  请问如何永久保存规则啊

service iptables save?

heihai 发表于 2021-12-8 01:22
service iptables save?

这个好像 每次都要保存 再恢复
不知道能不能写到 /etc/network/interfaces 里面去

其实主要是linux默认重启禁用转发,只需要开机激活转发规则就行:sysctl -p

Debian 9/Ubuntu 17+添加rc.local开机自启的方法:
https://www.moerats.com/archives/623/

1、添加rc-local.service

#以下为一整条命令,一起复制运行

  1. cat > /etc/systemd/system/rc-local.service <<EOF
  2. [Unit]
  3. Description=/etc/rc.local
  4. ConditionPathExists=/etc/rc.local
  5. [Service]
  6. Type=forking
  7. ExecStart=/etc/rc.local start
  8. TimeoutSec=0
  9. StandardOutput=tty
  10. RemainAfterExit=yes
  11. SysVStartPriority=99
  12. [Install]
  13. WantedBy=multi-user.target
  14. EOF

复制代码

2、新建rc-local文件

#以下为一整条命令,一起复制运行

  1. cat > /etc/rc.local <<EOF
  2. #!/bin/sh
  3. #
  4. # rc.local
  5. #
  6. # This script is executed at the end of each multiuser runlevel.
  7. # Make sure that the script will "exit 0" on success or any other
  8. # value on error.
  9. #
  10. # In order to enable or disable this script just change the execution
  11. # bits.
  12. #
  13. # By default this script does nothing.
  14. sysctl -p
  15. exit 0
  16. EOF

复制代码

3、添加权限并设置开机自启

  1. chmod +x /etc/rc.local
  2. systemctl enable rc-local
  3. systemctl start rc-local.service

复制代码

检查状态:

  1. systemctl status rc-local.service

复制代码

返回Active:active信息,则成功。

最后我们就可以在/etc/rc.local里,添加开机的自启命令什么的了。记住添加在exit 0之前。

netfilter-persistent save 没有就装一个

清道夫 发表于 2021-12-8 01:44
这个好像 每次都要保存 再恢复
不知道能不能写到 /etc/network/interfaces 里面去 …

这个是网卡信息,跟iptables的设置无关

maxkvm 发表于 2021-12-8 01:47
这个是网卡信息,跟iptables的设置无关

https://blog.qfdk.me/post/Online%20%E5%BC%80%E5%B0%8F%E9%B8%A1%20proxmox.html

  1. 编辑网卡 vim /etc/network/interfaces 加入下面的神秘代码
  2. auto vmbr2
  3.     iface vmbr2 inet static
  4.     address 192.168.0.254
  5.     netmask 255.255.255.0
  6.     bridge_ports none
  7.     bridge_stp off
  8.     bridge_fd 0
  9.     # 这里很重要
  10.     post-up echo 1 > /proc/sys/net/ipv4/ip_forward
  11.     # 分配ip地址
  12.     post-up iptables -t nat -A POSTROUTING -s ‘192.168.0.0/24’ -o vmbr0  -j MASQUERADE
  13.     post-down iptables -t nat -D POSTROUTING -s ‘192.168.0.0/24’ -o vmbr0  -j MASQUERADE
  14.     # 配置好端口转发 这里 我三台机器 分别把远程桌面搞到33891/3上 配置好了内网的转发
  15.     post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp –dport 33891 -j DNAT –to 192.168.0.1:3389
  16.     post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp –dport 33893 -j DNAT –to 192.168.0.3:3389
  17.     post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp –dport 222 -j DNAT –to 192.168.0.2:22
  18.     post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp –dport 33891 -j DNAT –to 192.168.0.1:3389
  19.     post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp –dport 33893 -j DNAT –to 192.168.0.3:3389
  20.     post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp –dport 222 -j DNAT –to 192.168.0.2:22

复制代码

退出移动版