firewall之iptables ,SNAT,DNAT

Posted 1011cjk

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了firewall之iptables ,SNAT,DNAT相关的知识,希望对你有一定的参考价值。

简述防火墙 防火墙简单来说就是起隔离作用的网络防御机制,它分为软件防火墙和硬件防火墙。无论哪一种都是工作在网络的边缘。那么防火墙怎么隔离呢,又隔离什么呢? 防火墙一般分为内核空间和用户空间,应用都是在用户空间中。对于客户端访问时,先访问内核空间,然后进入用户空间。对于主机防火墙,它的匹配规则一定设置在内核空间。一般client发送报文访问本主机,报文先通过一个进口进入内核空间,然后进入用户空间,用户空间检测报文,在重新进入内核空间,从内核的出口出去,离开防火墙,返回给client。 对于网络防火墙client发送报文,通过进口进入内核空间,然后在内核空间通过一个转发即FORWARD,在通过出口访问网络,它不通过用户空间。 防火墙内部有层层关卡,我们分为5个chain:PREROUTING,INPUT,OUTPUT,POSTROUTING,FORWARD。根据不同的功能我们分为了4个表,分别是raw,mangle,nat,filter。 优先级是raw,mangle,nat,filter,而我们最常用的是filter其次是nat,之后mangle,一般不会用到raw。 filter有INPUT,FORWARD,OUTPUT三个链 nat有PREROUTING,INPUT,OUTPUT,POSTROUTING四个链 mangle有PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING全部链 raw只有PREROUTING,OUTPUT链 添加规则时的考量点: (1)要实现什么功能:判断添加在哪张表上; (2)报文流经的路径:判断添加在哪个链上; iptables是提供在用户空间操作防火墙的工具 工具使用 链管理命令(这都是立即生效的) -P :设置默认策略的(设定默认门是关着的还是开着的) 默认策略一般只有两种 iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的 比如: iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。 -F: FLASH,清空规则链的(注意每个链的管理权限) iptables -t nat -F PREROUTING iptables -t nat -F 清空nat表的所有链 -N:NEW 支持用户新建一个链 iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。 -X: 用于删除用户自定义的空链 使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了 -E:用来Rename chain主要是用来给用户自定义的链重命名 -E oldname newname -Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节) iptables -Z :清空 规则管理命令 -A:追加,在当前链的最后新增一个规则 -I num : 插入,把当前规则插入为第几条。 -I 3 :插入为第三条 -R num:Replays替换/修改第几条规则 格式:iptables -R 3 ………… -D num:删除,明确指定删除第几条规则 查看管理命令 “-L” 附加子命令 -n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。 -v:显示详细信息 -vv -vvv :越多越详细 -x:在计数器上显示精确值,不做单位换算 --line-numbers : 显示规则的行号 -t nat:显示所有的关卡的信息 详解匹配标准 通用匹配:源地址目标地址的匹配 -s:指定作为源地址匹配,这里不能指定主机名称,必须是IP IP | IP/MASK | 0.0.0.0/0.0.0.0 而且地址可以取反,加一个“!”表示除了哪个IP之外 -d:表示匹配目标地址 -p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP) -i eth0:从这块网卡流入的数据 流入一般用在INPUT和PREROUTING上 -o eth0:从这块网卡流出的数据 流出一般在OUTPUT和POSTROUTING上 扩展匹配 隐含扩展:对协议的扩展 -p tcp :TCP协议的扩展。一般有三种扩展 --dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如 --dport 21 或者 --dport 21-23 (此时表示21,22,23) --sport:指定源端口 --tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG) 对于它,一般要跟两个参数: 检查的标志位 必须为1的标志位 --tcpflags syn,ack,fin,rst syn = --syn 表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做--syn -p udp:UDP协议的扩展 --dport --sport -p icmp:icmp数据报文的扩展 --icmp-type: echo-request(请求回显),一般用8 来表示 所以 --icmp-type 8 匹配请求回显数据包 echo-reply (响应的数据包)一般用0来表示 显式扩展(-m) 扩展各种模块 -m multiport:表示启用多端口扩展 之后我们就可以启用比如 --dports 21,23,80 详解-j ACTION 常用的ACTION: DROP:悄悄丢弃 一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表 REJECT:明示拒绝 ACCEPT:接受 custom_chain:转向一个自定义的链 DNAT SNAT MASQUERADE:源地址伪装 REDIRECT:重定向:主要用于实现端口重定向 MARK:打防火墙标记的 RETURN:返回 在自定义链执行完毕后使用返回,来返回原规则链。 状态检测: 是一种显式扩展,用于检测会话之间的连接关系的,有了检测我们可以实现会话间功能的扩展 什么是状态检测?对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接,而从第二次握手以后的,ack都为1,这是正常的数据传输,和tcp的第二次第三次握 手,叫做已建立的连接(ESTABLISHED),还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。还有第四种,FTP这种古老的拥有的 特征,每个端口都是独立的,21号和20号端口都是一去一回,他们之间是有关系的,这种关系我们称之为RELATED。 所以我们的状态一共有四种: NEW ESTABLISHED RELATED INVALID 所以我们对于刚才的练习题,可以增加状态检测。比如进来的只允许状态为NEW和ESTABLISHED的进来,出去只允许ESTABLISHED的状态出去,这就可以将比较常见的反弹式木马有很好的控制机制。 拓展: 进来的拒绝出去的允许,进来的只允许ESTABLISHED进来,出去只允许ESTABLISHED出去。默认规则都使用拒绝 iptables -L -n --line-number :查看之前的规则位于第几行 改写INPUT iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT 此时如果想再放行一个80端口如何放行呢? iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT 扩展:对于127.0.0.1比较特殊,我们需要明确定义它 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT NAT 1.需要3台虚拟机 client端配置网卡静态,ip 192.168.20.2;server端网卡静态,ip 172.16.100.2;一台虚拟机需要2个网卡作为防火墙,网卡为静态,ip 192.168.20.1和172.16.100.1 注意这里需要80端口的验证,所以虚拟机开启httpd,client和server防火墙关闭,防火墙需要开启防火墙,最好将链和表删到最简。 2、两种修改内核参数方法: 1)、使用echo value方式直接追加到文件里如echo "1" >/proc/sys/net/ipv4/tcp_syn_retries,但这种方法设备重启后又会恢复为默认值 2)、把参数添加到/etc/sysctl.conf中,然后执行sysctl -p使参数生效,永久生效 在防火墙中配置SNAT: iptables -t nat -A POSTROUTING -s 192.168.20.2 -d 172.16.100.2 --dport 80 -j SNAT --to-source 172.16.100.1 在防火墙中配置DNAT: iptables -t nat -A PREROUTING -s 172.16.100.2 -d 172.16.100.1 --dport 80 -j DNAT --to-destination 192.168.20.2

以上是关于firewall之iptables ,SNAT,DNAT的主要内容,如果未能解决你的问题,请参考以下文章

Linux防火墙iptables之SNAT与DNAT

linux基础之iptables SNAT和DNAT

iptable之SNAT的实现

iptables之SNAT与DNAT

网络SNAT与DNAT防火墙之iptables

iptables 垫脚石之 NAT DNAT SNAT 代理 深度理解