iptables网络管理器

   前些日子,组长要我实现一个功能,将告警邮件中的不能访问的生产机器ip+端口转化为办公环境可以访问的域名(已经通过端口映射配置)。报警程序是用go语言编写的,如果直接将go语言配置文件中的ip+端口变成域名的话,程序就不能正常运行了,可linux的hosts文件不支持直接将域名解析到端口映射的级别(顺便说一句windows好像可以,即hostname可以在windows的hosts文件中解析为1.2.3.4:1234这种形式)。

站在用户的角度思考问题,与客户深入沟通,找到毕节网站设计与毕节网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都做网站、成都网站设计、企业官网、英文网站、手机端网站、网站推广、主机域名、网页空间、企业邮箱。业务覆盖毕节地区。

   于是大概想的这种策略:

    1.将linux机器上的/etc/hosts中添加域名到ipA的配置;

    2.想办法将ipA对80端口的访问重新定向到ipA的指定端口(比如520)。

   第一步好做,但是第二步呢?用Apache端口映射功能?还要在装个apache web server;于是想到了linux自带的iptables。

   很多搭建过rac、dg、hadoop这类需要多台机器协同工作的程序的朋友应该都接触过iptables,而且通常都是iptables -F,清空管理规则,达到关闭防火墙的效果。其实防火墙只能说是iptables的一部分功能,感觉更准确的说iptables是一个网络管理工具,不仅能够将机器接收到的网络数据丢弃或者接受,还可以进行其他操作比如转发、记录日志等等。

   iptables的大体结构就像下面这的图展示的(图片来自互联网)

    iptables 网络管理器

   主要这么看这张图:

    1.iptables的规则可以在五个地方(这里专业叫法叫做链)起作用:路由规则之前(prerouting)、转发过程中(forward)、路由规则之后(postrouting)、程序处理之前(input)、程序处理之后(output);

    2.iptables主要有这三种功能(这里可以叫做三张表,毕竟规则就像数据库中的记录记录在数据表一样记录在这):地址转化(nat)、包过滤(filter)、修改包(mangle)(raw用的不多,不是很懂,在网上看了一下好像是优先级高,可以避免nat等规则匹配提高效率)。

   以perrouting为例,在这里可以通过iptables的一系列规则匹配,对发送过来的数据包进行修改或者地址转化;以forward为例,在经过路由表匹配发现目标机器不是这台机器的时候,可以对数据包修改或者过滤其他的就不重复说明了。

   下面说说iptables的语法(图片来自互联网)

    iptables 网络管理器

    大体语法是这样的

    iptables -t 指明哪张表 -(A追加,I插入等等) 链名 匹配规则 特定操作(redirect、drop、accept等等)

   以上面的需求来看,现在我想在访问80端口的时候,将访问重新定向到520端口。那么就可以在prerouting的时候,将访问本机80端口的数据包变成访问本机520端口的数据包

   于是以root用户执行如下命令

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRET --to-port 520

   这样就达到想要的效果,即在go语言中配置域名,但是仍然能够访问正确的ip+端口。


分享标题:iptables网络管理器
本文URL:http://ybzwz.com/article/gdeoeo.html