iptable防火墙

逆水行舟用力撑,一篙松劲退千寻。这篇文章主要讲述iptable防火墙相关的知识,希望能为你提供帮助。
iptable防火墙(二) SNAT测率概述 SNAT策略的典型应用环境

  • 局域网主机共享单个公网IP地址接入Internet
SNAT策略的原理
  • 源地址转换,Source Network Address Translation
  • 修改数据包的源地址
【iptable防火墙】进行SNAT转换后的情况
  • 数据包从内网到外网发送时将内网地址转换成合法的外网地址(请求消息)
  • 数据包从外网向内网回应时将外网地址转换成相应的内网地址(响应信息)
SNAT策略的应用
  • 前提条件
    • 局域网各主机正确设置IP地址子网掩码
    • 局域网各主机正确设置默认网关地址
    • Linux网关支持IP路由转发
  • 实现方法
    • 编写SNAT转换规则
iptable -t nat -A POSTROUTING(路由选择后再处理) -s 指定的网段 -o 指定出站的网卡 -j SNAT --to-source 指定的外网地址

路由转发开启方式
临时打开: echo 1 > / proc/ sys/ net/ ipv4/ ip_ forward 或 sysctl -W net.ipv4.ip_forward=1永久打开: vim /etc/sysctl.conf net.ipv4 ip_ forward = 1#将此行写入配置文件 sysctl -P#读取修改后的配置

SNAT转换
SNAT转换1:固定的公网IP地址 iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to 12.0.0.1 或 iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to-source 12.0.0.1-12.0.0.10 内网IP出站外网网卡外网IP或地址池SNAT转换2:非固定的公网IP地址(共享动态IP地址) iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

扩展:
  • 一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网
DNAT策略概述 DNAT策略的典型应用环境
  • 在Internet中发布位于企业局域网内的服务器
DNAT策略的原理
  • 目标地址转换,Destination Network Address Translation
  • 修改数据包的目标地址
DNAT策略的工作原理
DNAT策略的应用
  • 前提条件
    • 局域网的Web服务器能够访问Internet
    • 网关的外网IP地址有正确的DNS解析记录
    • Linux网关支持IP路由转发
  • 实现方法
    • 编写DNAT转换规则
iptable -t nat -A PREROUTING(路由选择之前处理) -i ens33(指定的入站网卡) -d 外网接口的IP地址 -p tcp --dport 80(发布的服务端口) -j DNAT(控制类型) --to-destination Web主机的内网IP地址 -A 指定路由选择之前处理 -i 指定的入站网卡 -d 指定外网接口的IP地址 --dport 指定发布的服务端口 -j 指定控制类型 --to-destination 指定Web主机的内网IP地址

DNAT转换
1.发布内网的Web服务 #把从ens33进来的要访问web服务的数据包目的地址转换为192.168.80.10 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10 或 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to destination 192.168.80.10 或 iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.202、 发布时修改目标端口 #发布局域网内部的OpenSSH服务器,外网主机需使用250端进行连接 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22#在外网环境中使用SSH测试 ssh -p 250 root@12.0.0.1yum -y install net-tools#若没有ifconfig 命令可提前使用yum进行安装 ifconfig ens33

扩展:
  • 主机型防火墙:主要使用INPUT、OUTPUT链,设置规则时一般要详细的指定到端口
  • 网络型防火墙:主要使用FORWARD链,设置规则时很少去指定到端口,一般指定到P地址或者到网段即可
防火墙规则的备份和还原 ①导出(备份)所有表的规则
iptables-save > /opt/ipt.txt

②导入(还原)规则
iptables-restore < /opt/ipt.txt

将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服务启动时会自动还原规则 iptables-save > /etc/sysconfig/iptables systemctl stop iptables#停止iptables服务会清空掉所有表的规则 systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

监听网络流量命令 tcpdump
  • tcpdump命令是一款sniffer工具,是linux上的抓包工具,它可以打印出所有经过网络接口的数据包的头信息。
tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap (1)tcp:ip icmparprarp和tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型 (2)-i ens33:只抓经过接口ens33的包 (3)-t:不显示时间戳 (4)-s0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包 (5)-c 100:只抓取100个数据包 (6)dstport ! 22:不抓取目标端口是22的数据包 (7)src net 192.168.1.0/24:数据包的源网络地址为192.168.1.0/24 (8)-w ./target.cap:保存成cap文件,方便用ethereal(即wireshark)分析


    推荐阅读