iptable防火墙
Posted Richard_Chiang
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了iptable防火墙相关的知识,希望对你有一定的参考价值。
iptable防火墙(二)
SNAT测率概述
SNAT策略的典型应用环境
- 局域网主机共享单个公网IP地址接入Internet
SNAT策略的原理
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
进行SNAT转换后的情况
- 数据包从内网到外网发送时将内网地址转换成合法的外网地址(请求消息)
- 数据包从外网向内网回应时将外网地址转换成相应的内网地址(响应信息)
SNAT策略的应用
-
前提条件
- 局域网各主机正确设置IP地址子网掩码
- 局域网各主机正确设置默认网关地址
- Linux网关支持IP路由转发
- 实现方法
- 编写SNAT转换规则
iptable -t nat -A POSTROUTING(路由选择后再处理) -s 指定的网段 -o 指定出站的网卡 -j SNAT --to-source 指定的外网地址
路由转发开启方式
临时打开:
echo 1 > / proc/ sys/ net/ ipv4/ ip_ forward
或
sysctl -W net.ipv4.ip_forward=1
永久打开:
vim /etc/sysctl.conf
net.ipv4 ip_ forward = 1 #将此行写入配置文件
sysctl -P #读取修改后的配置
SNAT转换
SNAT转换1:固定的公网IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to-source 12.0.0.1-12.0.0.10
内网IP 出站外网网卡 外网IP或地址池
SNAT转换2:非固定的公网IP地址(共享动态IP地址)
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE
扩展:
- 一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网
DNAT策略概述
DNAT策略的典型应用环境
- 在Internet中发布位于企业局域网内的服务器
DNAT策略的原理
- 目标地址转换,Destination Network Address Translation
- 修改数据包的目标地址
DNAT策略的工作原理
DNAT策略的应用
- 前提条件
- 局域网的Web服务器能够访问Internet
- 网关的外网IP地址有正确的DNS解析记录
- Linux网关支持IP路由转发
- 实现方法
- 编写DNAT转换规则
iptable -t nat -A PREROUTING(路由选择之前处理) -i ens33(指定的入站网卡) -d 外网接口的IP地址 -p tcp --dport 80(发布的服务端口) -j DNAT(控制类型) --to-destination Web主机的内网IP地址
-A 指定路由选择之前处理
-i 指定的入站网卡
-d 指定外网接口的IP地址
--dport 指定发布的服务端口
-j 指定控制类型
--to-destination 指定Web主机的内网IP地址
DNAT转换
1.发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to destination 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20
2、 发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22
#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1
yum -y install net-tools #若没有ifconfig 命令可提前使用yum进行安装
ifconfig ens33
扩展:
- 主机型防火墙:主要使用INPUT、OUTPUT链,设置规则时一般要详细的指定到端口
- 网络型防火墙:主要使用FORWARD链,设置规则时很少去指定到端口,一般指定到P地址或者到网段即可
防火墙规则的备份和还原
①导出(备份)所有表的规则
iptables-save > /opt/ipt.txt
②导入(还原)规则
iptables-restore < /opt/ipt.txt
将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
监听网络流量命令 tcpdump
- tcpdump命令是一款sniffer工具,是linux上的抓包工具,它可以打印出所有经过网络接口的数据包的头信息。
tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp:ip icmparprarp和tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型
(2)-i ens33:只抓经过接口ens33的包
(3)-t:不显示时间戳
(4)-s0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100:只抓取100个数据包
(6)dstport ! 22:不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24:数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap:保存成cap文件,方便用ethereal(即wireshark)分析
以上是关于iptable防火墙的主要内容,如果未能解决你的问题,请参考以下文章