CentOS 解决 iptables DNAT 问题。

host71 2014-06-13 12:43:53

1、如何配置 iptables DNAT
2、ip_conntrack 数量限制如何处理。
3、为什么我的DNAT效率特别低。经常出现失效的现象。

...全文

251 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

host71 2014-06-16

打赏
举报

回复

1、命令配置，基本一致。 2、这个通过修改 echo "options ip_conntrack hashsize=131072" >> /etc/modprobe.conf 可以达到8被的max 值。 3、DNAT 应用到 DNS请求，总是解析几次就失败。 ping不会丢包，traceroute 的时候会有不到底的现象，dig 的时候基本 3或4次之后就无响应了。

osnetdev 2014-06-13

打赏
举报

回复

1、如何配置 iptables DNAT iptables -t nat -A PREROUTING -p tcp --dport 80 -J DNAT --to-destination 192.168.0.100:80 2、ip_conntrack 数量限制如何处理。 echo xxx > /proc/sys/net/netfilter/nf_conntrack_max 3、为什么我的DNAT效率特别低。经常出现失效的现象。具体情况具体分析。看看你的DNAT是否配置正确。

host71 2014-06-13

打赏
举报

回复

自己顶一下，谁能解决一下呀。

经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx经典linux系统工程师系统管理员面试题.docx

OutlawCountry Today, June 29th 2017, WikiLeaks publishes documents from the OutlawCountry project of the CIA that targets computers running the Linux operating system. OutlawCountry allows for the redirection of all outbound network traffic on the target computer to CIA controlled machines for ex- and infiltration purposes. The malware consists of a kernel module that creates a hidden netfilter table on a Linux target; with knowledge of the table name, an operator can create rules that take precedence over existing netfilter/iptables rules and are concealed from an user or even system administrator. The installation and persistence method of the malware is not described in detail in the document; an operator will have to rely on the available CIA exploits and backdoors to inject the kernel module into a target operating system. OutlawCountry v1.0 contains one kernel module for 64-bit CentOS/RHEL 6.x; this module will only work with default kernels. Also, OutlawCountry v1.0 only supports adding covert DNAT rules to the PREROUTING chain.

iptables 命令基本参数和用法 iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP] 参数作用 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F ...............

DNAT是在请求进入PREROUTING时发生的，修改数据包的目地IP，然后查找路由；de-DNAT是在响应进入POSTROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的源IP，然后发出。同样SNAT是在请求进入POSTROUTING时发生的，修改数据包的源IP，然后发出；de-SNAT响应进入PREROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的目地IP，然后查找路由。

做bridge上做DNAT不生效，需要如果网卡是bridge, 需要设置：echo 0 > /proc/sys/net/bridge/bridge-nf-call-iptables 转载于:https://www.cnblogs.com/yangxiaochu/p/10245285.html...

系统维护与使用区

19,620

社区成员

74,588

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章