iptable防火墙

Posted 2022-01-03 Richard_Chiang

iptable防火墙（二）

SNAT测率概述

SNAT策略的典型应用环境

• 局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

• 源地址转换，Source Network Address Translation
• 修改数据包的源地址

进行SNAT转换后的情况

• 数据包从内网到外网发送时将内网地址转换成合法的外网地址(请求消息)
• 数据包从外网向内网回应时将外网地址转换成相应的内网地址(响应信息)

SNAT策略的应用

• 前提条件

  • 局域网各主机正确设置IP地址子网掩码
  • 局域网各主机正确设置默认网关地址
  • Linux网关支持IP路由转发
• 实现方法
  • 编写SNAT转换规则

iptable -t nat -A POSTROUTING（路由选择后再处理） -s 指定的网段 -o 指定出站的网卡 -j SNAT --to-source 指定的外网地址

路由转发开启方式

临时打开:
echo 1 > / proc/ sys/ net/ ipv4/ ip_ forward
或
sysctl -W net.ipv4.ip_forward=1

永久打开:
vim /etc/sysctl.conf
net.ipv4 ip_ forward = 1  #将此行写入配置文件
sysctl -P  #读取修改后的配置

SNAT转换

SNAT转换1：固定的公网IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to-source 12.0.0.1-12.0.0.10
                                      内网IP        出站外网网卡                    外网IP或地址池

SNAT转换2：非固定的公网IP地址（共享动态IP地址）
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

扩展：

• 一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网

---

DNAT策略概述

DNAT策略的典型应用环境

• 在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

• 目标地址转换，Destination Network Address Translation
• 修改数据包的目标地址

DNAT策略的工作原理

DNAT策略的应用

• 前提条件
  • 局域网的Web服务器能够访问Internet
  • 网关的外网IP地址有正确的DNS解析记录
  • Linux网关支持IP路由转发
• 实现方法
  • 编写DNAT转换规则

iptable -t nat -A PREROUTING（路由选择之前处理） -i ens33（指定的入站网卡） -d 外网接口的IP地址 -p tcp --dport 80（发布的服务端口） -j DNAT（控制类型） --to-destination Web主机的内网IP地址
-A 指定路由选择之前处理
-i 指定的入站网卡
-d 指定外网接口的IP地址
--dport 指定发布的服务端口
-j 指定控制类型
--to-destination 指定Web主机的内网IP地址

DNAT转换

1.发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to destination 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20

2、 发布时修改目标端口
#发布局域网内部的OpenSSH服务器，外网主机需使用250端进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools  #若没有ifconfig 命令可提前使用yum进行安装
ifconfig ens33

扩展：

• 主机型防火墙：主要使用INPUT、OUTPUT链，设置规则时一般要详细的指定到端口
• 网络型防火墙：主要使用FORWARD链，设置规则时很少去指定到端口，一般指定到P地址或者到网段即可

防火墙规则的备份和还原

①导出（备份）所有表的规则

iptables-save > /opt/ipt.txt

②导入（还原）规则

iptables-restore < /opt/ipt.txt

将iptables规则文件保存在/etc/sysconfig/iptables中，iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables  #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

监听网络流量命令 tcpdump

• tcpdump命令是一款sniffer工具，是linux上的抓包工具，它可以打印出所有经过网络接口的数据包的头信息。

tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
（1）tcp：ip icmparprarp和tcp、udp、icmp这些协议选项等都要放到第一个参数的位置，用来过滤数据包的类型
（2）-i ens33：只抓经过接口ens33的包
（3）-t：不显示时间戳
（4）-s0：抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
（5）-c 100：只抓取100个数据包
（6）dstport ! 22：不抓取目标端口是22的数据包
（7）src net 192.168.1.0/24：数据包的源网络地址为192.168.1.0/24
（8）-w ./target.cap：保存成cap文件，方便用ethereal（即wireshark）分析