Iptables和NAT 结合,也能够实现简单的负载均衡。
简介
iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能。
这个工具主要用在防火墙方面,我对防火墙只有一些肤浅的了解,这里主要是要借助iptables做简单的负载均衡。
只允许外部网络通过TCP与服务器的80端口建立连接
Iptables –F INPUT
Iptables –A INPUT - i eth0 –p tcp –dport80 –j ACCEPT
Iptables –P INPUT DROP
小应用
假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?
分析:对于ping这个协议,进来的为8(ping),出去的为0(响应).我们为了达到目的,需要8出去,允许0进来
在出去的端口上:iptables -A OUTPUT-p icmp --icmp-type 8 -j ACCEPT
在进来的端口上:iptables -A INPUT -picmp --icmp-type 0 -j ACCEPT
小扩展:对于127.0.0.1比较特殊,我们需要明确定义它
iptables -AINPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -AOUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
实现本机端口重定向
Iptables –t nat –A PREDOUT ING –I eth0 –p tcp –dport80 –j REDIRECT --to-port 8000
将所有从外部网络进入服务器80端口的请求转移到了8000端口。能够隐藏某些服务的实际端口,也可以将一个端口快速切换到其他端口的服务上,提高端口管理的灵活性。
Iptables 负载均衡
首先,要开启服务器被允许转发数据包:
Echo 1 > /proc/sys/net/ipv4/ip_forward
然后,要在作为调度器(负载均衡)执行规则:
Iptables –t nat –A PREDOUTING –I eht0 –p tcp –dport 8001 –j DNAT –to-destination10.0.0.100:80
将调度器外网网卡上8001端口收集的所有请求转发到10.0.0.114 这台服务器的80端口;
同样,继续执行
Iptables –t nat –A PREDOUTING –I eht0 –p tcp –dport 8002 –j DNAT –to-destination10.0.0.101:80
这两条规则进入了netfilter的过滤表,可以通过iptables命令查看。
我们创建了转发规则,那么数据包已经能够被转发了;但是还少一了数据回来的一步,必须将实际服务器的默认网关设置为NAT服务器。也就是说,NAT服务器必须为实际的服务器网关。
给服务器添加默认网关:
Route add default gw 10.0.0.50
10.0.0.50 为NAT服务器地址。
缺陷
这种负载均衡貌似简单,但是没有调度器应该有的调度能力和调度策略,如果有选择,我还是不要用了吧。
Iptables 定义规则
格式:iptables [-t table]COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理
对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT
对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
Iptables的command说明
1.链管理命令(这都是立即生效的)
-P :设置默认策略的(设定默认门是关着的还是开着的)
默认策略一般只有两种
iptables -P INPUT(DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有链
-N:NEW 支持用户新建一个链
iptables -Ninbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空
2.规则管理命令
-A:追加,在当前链的最后新增一个规则
-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条
-R num:Replays替换/修改第几条规则
格式:iptables -R 3 …………
-D num:删除,明确指定删除第几条规则
3.查看管理命令“-L”
附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
--line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息
进来的拒绝出去的允许,进来的只允许ESTABLISHED进来,出去只允许ESTABLISHED出去。默认规则都使用拒绝
iptables -L -n--line-number :查看之前的规则位于第几行
改写INPUT
iptables -R INPUT 2 -s172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --stateNEW,ESTABLISHED -j ACCEPT
iptables -R OUTPUT 1 -mstate --state ESTABLISHED -j ACCEPT
原文地址:http://blog.csdn.net/ffm83/article/details/42562625