iptable防火墙 _iptable

逆水行舟用力撑，一篙松劲退千寻。这篇文章主要讲述iptable防火墙相关的知识，希望能为你提供帮助。
iptable防火墙（二） SNAT测率概述 SNAT策略的典型应用环境

局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

源地址转换，Source Network Address Translation
修改数据包的源地址

【iptable防火墙】进行SNAT转换后的情况

数据包从内网到外网发送时将内网地址转换成合法的外网地址(请求消息)
数据包从外网向内网回应时将外网地址转换成相应的内网地址(响应信息)

SNAT策略的应用

前提条件
- 局域网各主机正确设置IP地址子网掩码
- 局域网各主机正确设置默认网关地址
- Linux网关支持IP路由转发
实现方法
- 编写SNAT转换规则

iptable -t nat -A POSTROUTING（路由选择后再处理） -s 指定的网段 -o 指定出站的网卡 -j SNAT --to-source 指定的外网地址

路由转发开启方式

临时打开: echo 1 > / proc/ sys/ net/ ipv4/ ip_ forward 或 sysctl -W net.ipv4.ip_forward=1永久打开: vim /etc/sysctl.conf net.ipv4 ip_ forward = 1#将此行写入配置文件 sysctl -P#读取修改后的配置

SNAT转换

SNAT转换1：固定的公网IP地址 iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to 12.0.0.1 或 iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 j SNAT --to-source 12.0.0.1-12.0.0.10 内网IP出站外网网卡外网IP或地址池SNAT转换2：非固定的公网IP地址（共享动态IP地址） iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

扩展：

一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网

DNAT策略概述 DNAT策略的典型应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

目标地址转换，Destination Network Address Translation
修改数据包的目标地址

DNAT策略的工作原理
DNAT策略的应用

前提条件
- 局域网的Web服务器能够访问Internet
- 网关的外网IP地址有正确的DNS解析记录
- Linux网关支持IP路由转发
实现方法
- 编写DNAT转换规则

iptable -t nat -A PREROUTING（路由选择之前处理） -i ens33（指定的入站网卡） -d 外网接口的IP地址 -p tcp --dport 80（发布的服务端口） -j DNAT（控制类型） --to-destination Web主机的内网IP地址 -A 指定路由选择之前处理 -i 指定的入站网卡 -d 指定外网接口的IP地址 --dport 指定发布的服务端口 -j 指定控制类型 --to-destination 指定Web主机的内网IP地址

DNAT转换

1.发布内网的Web服务 #把从ens33进来的要访问web服务的数据包目的地址转换为192.168.80.10 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10 或 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to destination 192.168.80.10 或 iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.202、发布时修改目标端口 #发布局域网内部的OpenSSH服务器，外网主机需使用250端进行连接 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22#在外网环境中使用SSH测试 ssh -p 250 root@12.0.0.1yum -y install net-tools#若没有ifconfig 命令可提前使用yum进行安装 ifconfig ens33

扩展：

主机型防火墙：主要使用INPUT、OUTPUT链，设置规则时一般要详细的指定到端口
网络型防火墙：主要使用FORWARD链，设置规则时很少去指定到端口，一般指定到P地址或者到网段即可

防火墙规则的备份和还原 ①导出（备份）所有表的规则

iptables-save > /opt/ipt.txt

②导入（还原）规则

iptables-restore < /opt/ipt.txt

将iptables规则文件保存在/etc/sysconfig/iptables中，iptables服务启动时会自动还原规则 iptables-save > /etc/sysconfig/iptables systemctl stop iptables#停止iptables服务会清空掉所有表的规则 systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

监听网络流量命令 tcpdump

tcpdump命令是一款sniffer工具，是linux上的抓包工具，它可以打印出所有经过网络接口的数据包的头信息。

tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap （1）tcp：ip icmparprarp和tcp、udp、icmp这些协议选项等都要放到第一个参数的位置，用来过滤数据包的类型（2）-i ens33：只抓经过接口ens33的包（3）-t：不显示时间戳（4）-s0：抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包（5）-c 100：只抓取100个数据包（6）dstport ! 22：不抓取目标端口是22的数据包（7）src net 192.168.1.0/24：数据包的源网络地址为192.168.1.0/24 （8）-w ./target.cap：保存成cap文件，方便用ethereal（即wireshark）分析