当前位置: 澳门新濠3559 > 操作系统 > 正文

filter是iptables默认使用的表澳门新濠3559:,三层

时间:2019-12-26 00:20来源:操作系统
1、简介 iptables是linux/unix自带的一款开源基于包过滤的防火墙工具,使用非常灵活,对硬件资源需求不是很高,是在内核中集成的服务,主要工作在OSI的二、三、四层。 iptables简单配置

1、简介

iptables是linux/unix自带的一款开源基于包过滤的防火墙工具,使用非常灵活,对硬件资源需求不是很高,是在内核中集成的服务,主要工作在OSI的二、三、四层。

iptables简单配置示例

iptables防火墙简介 iptables/netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活, 可以对流入、流出、流经服务器的数据包进行精细的控制。 iptables是Linux2.4及2.6内核中集成的模块。 防火墙果汁的执行顺序默认是从前到后依次执行,遇到匹配的规则就不在继续向下检查,若果遇到不匹配的规则会继续向下执行, 匹配上了拒绝规则也是匹配,因此不再继续。 在iptables中有三个最常用的表,分别是filter,nat和mangle,每一个表中都包含了各自不同的链。 filter表: filter是iptables默认使用的表,负责对流入、流出本机的数据包进行过滤,该表中定义了3个链:

INPOUT 负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包。
FORWARD 负责转发流经本机但不进入本机的数据包,起到转发的作用。
OUTPUT 负责处理所有源地址是本机地址的数据包,就是处理从主机发出去的数据包。

NAT表: NAT是Network Address Translation的缩写,是网络地址转换的意思,用来负责来源与目的ip地址和port的转换。 一般用于局域网多人共享上网或将内网ip映射成外网ip+port转换的功能。该表主要包含3个链: OUTPUT 和主机发出去的数据包有关,在数据包路由之前改变主机产生的数据包的目的地址。 PREROUTING 在数据包刚到达防火墙时,进行路由判断之前执行的规则。改变包的目的地址(DNAT功能)、端口等 POSTROUTING 在数据包离开防火墙时,进行路由判断之后执行的规则。改变包的源地址(SNAT功能)、端口等 Mangle表: Mangle表主要负责修改数据包中的特殊路由标记,如TTL、TOS、MARK等。这个表中包含了5个链:INPUT、FORWARD、OUTPUT、PREROUTING、POSTROUTING, 这张表与特殊的标记相关,一般情况我们很少使用。
iptables: 0.0.0.0 所有ip

#查看帮助 iptables -h man iptables
列出iptables规则 iptables -L -n 列出iptables规则并显示规则编号 iptables -L -n --line-numbers
列出iptables nat表规则(默认是filter表) iptables -L -n -t nat
清除默认规则(注意默认是filter表,如果对nat表操作要加-t nat) #清楚所有规则 iptables -F #删除用户自定义的链 iptables -X #将链的计数器清零 iptables -Z
#重启iptables发现规则依然存在,因为没有保存 service iptables restart
#保存配置 service iptables save
#禁止ssh登陆(若果服务器在机房,一定要小心) iptables -A INPUT -p tcp --dport 22 -j DROP #清除规则 iptables -D INPUT -p tcp --dport 22 -j DROP iptables -D INPUT [line-number] // 根据
-A, --append chain 追加到规则的最后一条 -D, --delete chain [rulenum] Delete rule rulenum (1 = first) from chain -I, --insert chain [rulenum] Insert in chain as rulenum (default 1=first) 添加到规则的第一条 -p, --proto proto protocol: by number or name, eg. 'tcp',常用协议有tcp、udp、icmp、all -j, --jump target 常见的行为有ACCEPT、DROP和REJECT三种,但一般不用REJECT,会带来安全隐患
注意:INPUT和DROP这样的关键字需要大写
#禁止192.168.10.0网段从eth0网卡接入 iptables -A INPUT -p tcp -i eth0 -s 192.168.10.0/24 -j DROP
#禁止ip地址非192.168.10.10的所有类型数据接入 iptables -A INPUT ! -s 192.168.10.10 -j DROP
#禁止ip地址非192.168.10.10的ping请求 iptables -I INPUT -p icmp --icmp-type 8 ! -s 192.168.98.10 -j DROP
#扩展匹配:1.隐式扩展 2.显示扩展 #隐式扩展 -p tcp --sport PORT 源端口 --dport PORT 目标端口
#显示扩展:使用额外的匹配规则 -m EXTENSTION --SUB-OPT -p tcp --dport 22 与 -p tcp -m tcp --dport 22功能相同
state:状态扩展,接口ip_contrack追踪会话状态 NEW:新的连接请求 ESTABLISHED:已建立的连接请求 INVALID:非法连接 RELATED:相关联的连接
#匹配端口范围 iptables -I INPUT -p tcp --dport 22:80 -j DROP
#匹配多个端口 iptables -I INPUT -p tcp -m multiport --dport 22,80 -j DROP
#不允许源端口为80的数据流出 iptables -I OUTPUT -p tcp --sport 80 -j DROP
#服务器一般默认规则问拒绝,如果想允某种流量通过需要额外添加 _____ Incoming / Outgoing -->[Routing ]--->|FORWARD|-------> [Decision] _____/ ^ | | v ____ ___ / / |OUTPUT| |INPUT| ____/ ___/ ^ | | ----> Local Process ----

配置防火墙: 两种模式:电影院模式和逛公园模式
配置一个生产环境的防火墙 #1.清空所有规则 iptables -F iptables -Z iptables -X
#2.配置允许ssh协议的22端口进入 iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT
#3.配置允许lo接口数据的进出 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
#4.设置默认的进出规则,DROP掉INPUT链和FORWARD链,保留OUTPUT链 iptables --policy OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP
#5.开启信任的IP段 iptables -A INPUT -p all -s 192.168.10.0/24 -j ACCEPT
#6.开放http的80端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#7.允许icmp类型协议通过 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#8.允许关联状态包进出 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #对于FTP而言,就需要 RELATED 才能实现 21 端口白名单,如不加此项需要额外开放端口,而那些额外开放端口是不受连接状态保护的。
#9.保存iptables配置到文件 service iptables save

iptables --policy INPUT DROP // 将INPUT表策略修改为DROP

iptables的NAT功能:将Linux服务器配置为上网网关和端口映射功能
上网网关:就是将Linux服务器配置成路由器或者网关,实现其他服务器能通过这台服务器进行上网的功能,如果需要实在该功能,就要借助iptables的nat表
NAT的两种方式:DNAT和SNAT
SNAT的全称是Source Network Address Translation,意思是源网络地址转换,这是一种改变数据包源ip地址等功能的技术, 经常用来实现使多台计算机共享一个Internet地址访问互联网的功能,如x小区宽带、企业内部机器上网。(nat表的POSTROUTING)
DNAT的全称是Destination Network Address Translation,意思是目的网络地址转换,DNAT是一种改变数据包目的ip地址等功能的技术,它可以使多台服务器共享一个ip地址连入Internet,并且继续对外提供服务。通过对同一个外部ip地址分配不同的端口,可以映射到不同的内部服务器的ip和端口,从而实现提供各种服务的目的。除了进行端口映射外,还可以配合SNAT的功能,来实现类似防火墙设备才能实现的DMZ功能,即ip的一对一映射。(nat表的PREROUTING)

filter是iptables默认使用的表澳门新濠3559:,三层的防火墙会在这层对源地址和目标地址进行检测。SNAT实验步骤: 1.准备两台服务器,其中一台服务器作为网关服务器,这台服务器要有两块网卡。另外一台作为内网服务器,有一块网卡。 2.网关服务器内核文件/etc/sysctl.conf需要开启转发功能。编辑/etc/sysctl.conf修改内容为net.ipv4.ip_forward=1,然后执行sysctl -p使修改立即生效。 3.设置iptables的filter表的FORWARD链允许转发。iptables iptables -P FORWARD ACCEPT 4.将内网服务器的网关设置为网关服务器的内网ip地址 5.在网关服务器的iptables的nat表中加一条规则:iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 172.16.50.128 6.验证:ping 8.8.8.8可以ping通,但是ping百度不同,需要配置DNS
DNAT实验步骤 在网关服务器的iptables的nat表中加一条规则: iptables -t nat -A PREROUTING -d 172.16.50.128 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.129:80
一对一映射: ifconfig eth0:1 172.16.50.100/24 // 外网对该IP所有端口进行转发 iptables -t nat -A PREROUTING -d 172.16.50.100 -j DNAT --to-destination 192.168.10.129 // 内网访问外网前,先通过VM1 SNAT. 所有端口转发 这个和上面标绿字体部分差不多 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.129 -j SNAT --to-source 172.16.50.100

一个网卡多个IP的方式: 1.网卡别名 ifconfig eth0:1 192.168.50.200
2.?
删除nat表POSTROUTING 第一条rule iptables -t nat -D POSTROUING 1
DNAT -> PREROUTING SNAT -> POSTROUTING
回路走的MAC记录

iptables防火墙简介iptables/netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非...

一:前言

术语介绍:

Netfilter:是表的容器  表:链的容器  链:规则的容器  规则:iptables一系列过滤信息的规范和具体方法

工作流程:

客户端请求数据------》iptables Filter-------》获取主机的服务(直接拒绝Drop)

数据包————过滤规则 1————过滤规则 2————默认规则
拒绝就 Drop--------------------------------后面的规则不起作用
没有匹配————拒绝就 Drop--------------后面的规则不起作用
前两个规则都没有匹配—————默认规则去过滤

  防火墙是层层过滤,数据包的匹配规则是自上而下顺序匹配,如果前面都没有匹配上规则(这个匹配规则是无论通过还是拒绝都是匹配上规则),明确通过或阻止,最后交给防火墙默认规则去处理

防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。

2、常用表的介绍

常用的表有:filter、nat、mangle

澳门新濠3559 1

澳门新濠3559 2

澳门新濠3559 3

完整过程:

1、数据包进入----经过NAT PREROUTING----经过 FORWARD----FILTER INPUT----NAT OUTPUT----FILTER OUTPUT----NAT POSTROUTING  主要用于NAT或端口映射

2、数据包经过----经过 FORWARD----FILTER FORWARD----NAT POSTROUTING  主要用于过滤

目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。

3、帮助信息

[root@VM_0_7_centos ~]# iptables -h
iptables v1.4.7

Usage: iptables -[ACD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options]
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)

Commands:
Either long or short options are allowed.
  --append  -A chain  Append to chain  把规则添加到链的结尾
  --check   -C chain  Check for the existence of a rule
  --delete  -D chain  Delete matching rule from chain  删除匹配规则从链中
  --delete  -D chain rulenum
    Delete rule rulenum (1 = first) from chain
  --insert  -I chain [rulenum]
    Insert in chain as rulenum (default 1=first)  把规则添加到链的开头
  --replace -R chain rulenum
    Replace rule rulenum (1 = first) in chain
  --list    -L [chain [rulenum]]
    List the rules in a chain or all chains  #以列表的形式查看
  --list-rules -S [chain [rulenum]]
    Print the rules in a chain or all chains
  --flush   -F [chain]  Delete all rules in  chain or all chains  #清除所有规则
  --zero    -Z [chain [rulenum]]
    Zero counters in chain or all chains  #清除计数器
  --new     -N chain  Create a new user-defined chain  #以数字的形式查看
  --delete-chain
            -X [chain]  Delete a user-defined chain  #清除用户自定义链
  --policy  -P chain target
    Change policy on chain to target    #将链策略更改为目标
  --rename-chain
            -E old-chain new-chain
    Change chain name, (moving any references)
Options:
[!] --proto -p proto protocol: by number or name, eg. `tcp'  指定端口类型,如tcp,udp
[!] --source -s address[/mask][...]
    source specification    原规则(-s 后面跟IP地址)
[!] --destination -d address[/mask][...]
    destination specification
[!] --in-interface -i input name[+]
    network interface name ([+] for wildcard)    网络接口名称(后面跟网络接口,如eth0)
 --jump -j target
    target for rule (may load target extension)    目标规则
  --goto      -g chain
                              jump to chain with no return
  --match -m match
    extended match (may load extension)
  --numeric -n  numeric output of addresses and ports  #端口和地址的数字输出
[!] --out-interface -o output name[+]
    network interface name ([+] for wildcard)  网络接口名称(是output的网络接口名称,和-i区别开来)
  --table -t table table to manipulate (default: `filter')  #指定表
  --verbose -v  verbose mode
  --line-numbers  print line numbers when listing
  --exact -x  expand numbers (display exact values)
[!] --fragment -f  match second or further fragments only
  --modprobe=<command>  try to insert modules using this command
  --set-counters PKTS BYTES set the counter during insert/append
[!] --version -V  print package version.

[root@VM_0_7_centos ~]# /etc/init.d/iptables status  查看iptables的运行状态
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

[root@VM_0_7_centos ~]# iptables -L -n  查看表列表和端口地址
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination           

对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙,不管你源端口或者目标端口,源地址或者目标地址是什么,都将对你所有的东西进行检查。所以,对于设计原理来讲,七层防火墙更加安全,但是这却带来了效率更低。所以市面上通常的防火墙方案,都是两者结合的。而又由于我们都需要从防火墙所控制的这个口来访问,所以防火墙的工作效率就成了用户能够访问数据多少的一个最重要的控制,配置的不好甚至有可能成为流量的瓶颈。

 清除规则

[root@VM_0_7_centos ~]# iptables -F  清除iptables规则
[root@VM_0_7_centos ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

 

清除指定表  iptablers -F -t 表名

[root@VM_0_7_centos ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

因为默认的是filter表,所以和iptables -F一样

配置防火墙前最好写一个定时任务,每多长时间就关闭防火墙,这样就可以防止无法远程登录

-A  把规则添加到链的结尾

-I  把规则添加到链的开头

[root@VM_0_7_centos ~]# iptables -t filter -A INPUT -p tcp --dport 9001 -j DROP
[root@VM_0_7_centos ~]# iptables -t filter -A INPUT -p tcp --dport 9002 -j DROP
[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9002 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

[root@VM_0_7_centos ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9002 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

在实际的企业应用中,如果默认的规则是允许的,但是我又得禁止某一个应用或服务时,就会用到-I参数,将规则放在最前面,比如你发现一个网站被一个IP频繁访问,就可以用它来禁止

[root@VM_0_7_centos ~]# iptables -t filter -I INPUT -p tcp -s 10.0.100.1 --dport 9003 -j ACCEPT
[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  10.0.100.1           0.0.0.0/0           tcp dpt:9003 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 
3    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9002 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

删除某一行规则

[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  10.0.100.1           0.0.0.0/0           tcp dpt:9003 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 
3    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9002 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

[root@VM_0_7_centos ~]# iptables -D INPUT 3
[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  10.0.100.1           0.0.0.0/0           tcp dpt:9003 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

禁止某网段的流量

[root@VM_0_7_centos ~]# iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP

[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  10.0.100.1           0.0.0.0/0           tcp dpt:9003 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9001 
3    DROP       all  --  10.0.0.0/24          0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

二:iptables 的历史以及工作原理

iptables企业级应用配置

清除规则

[root@VM_0_7_centos ~]# iptables -F
[root@VM_0_7_centos ~]# iptables -X
[root@VM_0_7_centos ~]# iptables -Z
[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

配置规则使得内网用户可用

[root@VM_0_7_centos ~]# iptables -A INPUT -s 100.1.3.9/24 -j ACCEPT
[root@VM_0_7_centos ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@VM_0_7_centos ~]# iptables -A INPUT -i lo -j ACCEPT
[root@VM_0_7_centos ~]# iptables -A OUTPUT -o lo -j ACCEPT

设置规则(默认规则)

[root@VM_0_7_centos ~]# iptables -P INPUT DROP
[root@VM_0_7_centos ~]# iptables -P FORWARD DROP
[root@VM_0_7_centos ~]# iptables -P OUTPUT DROP  

配置用户访问web页面(这个不能禁止,因为网站是开放给全球用户访问)

[root@VM_0_7_centos ~]# iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
[root@VM_0_7_centos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        

因为所有iptables命令都是保存在内存中的,重启计算机就会失效

[root@VM_0_7_centos ~]# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
[root@VM_0_7_centos ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

成功保存iptables规则

维护iptables防火墙

[root@VM_0_7_centos ~]# vim /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Fri Mar 23 11:13:52 2018
*filter
:INPUT ACCEPT [938:61166]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [872:82030]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
COMMIT
# Completed on Fri Mar 23 11:13:52 2018

1.iptables的发展:

iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能。

他们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter.(网络过滤器)

    作者一共在内核空间中选择了5个位置,

    1.内核空间中:从一个网络接口进来,到另一个网络接口去的

    2.数据包从内核流入用户空间的

    3.数据包从用户空间流出的

    4.进入/离开本机的外网接口

    5.进入/离开本机的内网接口

        

2.iptables的工作机制

从上面的发展我们知道了作者选择了5个位置,来作为控制的地方,但是你有没有发现,其实前三个位置已经基本上能将路径彻底封锁了,但是为什么已经在进出的口设置了关卡之后还要在内部卡呢? 由于数据包尚未进行路由决策,还不知道数据要走向哪里,所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡,进入用户空间的关卡,从用户空间出去的关卡。那么,既然他们没什么用,那我们为什么还要放置他们呢?因为我们在做NAT和DNAT的时候,目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。        

 这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。

1.PREROUTING (路由前)

2.INPUT (数据包流入口)

3.FORWARD (转发管卡)

4.OUTPUT(数据包出口)

5.POSTROUTING(路由后)

        这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。       

3.防火墙的策略

防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。

我们现在用的比较多个功能有3个:

1.filter 定义允许或者不允许的

2.nat 定义地址转换的 

                3.mangle功能:修改报文原数据

我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。

 

小扩展:

对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT

对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING

而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

 

iptables/netfilter(这款软件)是工作在用户空间的,它可以让规则进行生效的,本身不是一种服务,而且规则是立即生效的。而我们iptables现在被做成了一个服务,可以进行启动,停止的。启动,则将规则直接生效,停止,则将规则撤销。 

iptables还支持自己定义链。但是自己定义的链,必须是跟某种特定的链关联起来的。在一个关卡设定,指定当有数据的时候专门去找某个特定的链来处理,当那个链处理完之后,再返回。接着在特定的链中继续检查。

注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。

 

三.规则的写法:

 iptables定义规则的方式比较复杂:

 格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

 -t table :3个filter nat mangle

 COMMAND:定义如何对规则进行管理

 chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的

 CRETIRIA:指定匹配标准

 -j ACTION :指定如何进行处理

 比如:不允许172.16.0.0/24的进行访问。

 iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

 当然你如果想拒绝的更彻底:

 iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

 iptables -L -n -v#查看定义规则的详细信息

 

四:详解COMMAND:

1.链管理命令(这都是立即生效的)

-P :设置默认策略的(设定默认门是关着的还是开着的)

默认策略一般只有两种

iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的

比如:

iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。

        -F: FLASH,清空规则链的(注意每个链的管理权限)

    iptables -t nat -F PREROUTING

    iptables -t nat -F 清空nat表的所有链

        -N:NEW 支持用户新建一个链

            iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。

        -X: 用于删除用户自定义的空链

            使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了

        -E:用来Rename chain主要是用来给用户自定义的链重命名

            -E oldname newname

         -Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)

            iptables -Z :清空

 

2.规则管理命令

         -A:追加,在当前链的最后新增一个规则

         -I num : 插入,把当前规则插入为第几条。

            -I 3 :插入为第三条

         -R num:Replays替换/修改第几条规则

            格式:iptables -R 3 …………

         -D num:删除,明确指定删除第几条规则

        

3.查看管理命令 “-L”

 附加子命令

 -n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。

 -v:显示详细信息

 -vv

 -vvv :越多越详细

 -x:在计数器上显示精确值,不做单位换算

 --line-numbers : 显示规则的行号

 -t nat:显示所有的关卡的信息

 

五:详解匹配标准

1.通用匹配:源地址目标地址的匹配

 -s:指定作为源地址匹配,这里不能指定主机名称,必须是IP

IP | IP/MASK | 0.0.0.0/0.0.0.0

而且地址可以取反,加一个“!”表示除了哪个IP之外

 -d:表示匹配目标地址

 -p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)

 -i eth0:从这块网卡流入的数据

流入一般用在INPUT和PREROUTING上

 -o eth0:从这块网卡流出的数据

流出一般在OUTPUT和POSTROUTING上

        

2.扩展匹配

2.1隐含扩展:对协议的扩展

    -p tcp :TCP协议的扩展。一般有三种扩展

--dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如

--dport 21  或者 --dport 21-23 (此时表示21,22,23)

--sport:指定源端口

--tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)

    对于它,一般要跟两个参数:

1.检查的标志位

2.必须为1的标志位

--tcpflags syn,ack,fin,rst syn   =    --syn

表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做--syn

    -p udp:UDP协议的扩展

        --dport

        --sport

    -p icmp:icmp数据报文的扩展

        --icmp-type:

echo-request(请求回显),一般用8 来表示

所以 --icmp-type 8 匹配请求回显数据包

echo-reply (响应的数据包)一般用0来表示

                  

2.2显式扩展(-m)

     扩展各种模块

      -m multiport:表示启用多端口扩展

      之后我们就可以启用比如 --dports 21,23,80

                  

        

六:详解-j ACTION

 常用的ACTION:

 DROP:悄悄丢弃

一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表

 REJECT:明示拒绝

 ACCEPT:接受

custom_chain:转向一个自定义的链

 DNAT

 SNAT

 MASQUERADE:源地址伪装

 REDIRECT:重定向:主要用于实现端口重定向

 MARK:打防火墙标记的

 RETURN:返回

在自定义链执行完毕后使用返回,来返回原规则链。

 

练习题1:

     只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务

     分析:首先肯定是在允许表中定义的。因为不需要做NAT地址转换之类的,然后查看我们SSHD服务,在22号端口上,处理机制是接受,对于这个表,需要有一来一回两个规则,如果我们允许也好,拒绝也好,对于访问本机服务,我们最好是定义在INPUT链上,而OUTPUT再予以定义就好。(会话的初始端先定义),所以加规则就是:

     定义进来的: iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT

     定义出去的: iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT

     将默认策略改成DROP:

  iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP

        

七:状态检测:

是一种显式扩展,用于检测会话之间的连接关系的,有了检测我们可以实现会话间功能的扩展

        什么是状态检测?对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接,而从第二次握手以后的,ack都为1,这是正常的数据传输,和tcp的第二次第三次握手,叫做已建立的连接(ESTABLISHED),还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。还有第四种,FTP这种古老的拥有的特征,每个端口都是独立的,21号和20号端口都是一去一回,他们之间是有关系的,这种关系我们称之为RELATED。

所以我们的状态一共有四种:

        NEW

        ESTABLISHED

        RELATED

        INVALID

 

所以我们对于刚才的练习题,可以增加状态检测。比如进来的只允许状态为NEW和ESTABLISHED的进来,出去只允许ESTABLISHED的状态出去,这就可以将比较常见的反弹式木马有很好的控制机制。

        

对于练习题的扩展:

进来的拒绝出去的允许,进来的只允许ESTABLISHED进来,出去只允许ESTABLISHED出去。默认规则都使用拒绝

iptables -L -n --line-number  :查看之前的规则位于第几行

    改写INPUT

        iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

        iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

 

    此时如果想再放行一个80端口如何放行呢?

        iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

 

        iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT

 

练习题2:

假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?

分析:对于ping这个协议,进来的为8(ping),出去的为0(响应).我们为了达到目的,需要8出去,允许0进来

 

在出去的端口上:iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

在进来的端口上:iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

 

小扩展:对于127.0.0.1比较特殊,我们需要明确定义它

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

 

八:SNAT和DNAT的实现

由于我们现在IP地址十分紧俏,已经分配完了,这就导致我们必须要进行地址转换,来节约我们仅剩的一点IP资源。那么通过iptables如何实现NAT的地址转换呢?

1.SNAT基于原地址的转换

基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。

所以我们在iptables中就要定义到底如何转换:

定义的样式:

比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址:

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1

这样,只要是来自本地网络的试图通过网卡访问网络的,都会被统统转换成172.16.100.1这个IP.

那么,如果172.16.100.1不是固定的怎么办?

我们都知道当我们使用联通或者电信上网的时候,一般它都会在每次你开机的时候随机生成一个外网的IP,意思就是外网地址是动态变换的。这时我们就要将外网地址换成 MASQUERADE(动态伪装):它可以实现自动寻找到外网地址,而自动将其改为正确的外网地址。所以,我们就需要这样设置:

         iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

         这里要注意:地址伪装并不适用于所有的地方。

 

2.DNAT目标地址转换

对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器,而我们的服务却放在内网服务器的不同的服务器上。

    如何做目标地址转换呢?:

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2

        目标地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上

 

九:控制规则的存放以及开启

注意:你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来

1.service iptables save 命令

它会保存在/etc/sysconfig/iptables这个文件中

    2.iptables-save 命令

iptables-save > /etc/sysconfig/iptables

 

    3.iptables-restore 命令

开机的时候,它会自动加载/etc/sysconfig/iptabels

如果开机不能加载或者没有加载,而你想让一个自己写的配置文件(假设为iptables.2)手动生效的话:

iptables-restore < /etc/sysconfig/iptables.2

则完成了将iptables中定义的规则手动生效

 

 

十:总结

         Iptables是一个非常重要的工具,它是每一个防火墙上几乎必备的设置,也是我们在做大型网络的时候,为了很多原因而必须要设置的。学好Iptables,可以让我们对整个网络的结构有一个比较深刻的了解,同时,我们还能够将内核空间中数据的走向以及linux的安全给掌握的非常透彻。我们在学习的时候,尽量能结合着各种各样的项目,实验来完成,这样对你加深iptables的配置,以及各种技巧有非常大的帮助。

附加iptables比较好的文章:

netfilter/iptables全攻略

转自:

内容简介
防火墙的概述
iptables简介
iptables基础
iptables语法
iptables实例
案例详解

防火墙的简介
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。
防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。

通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问;集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;记录网络的使用状态,为安全规划和网络维护提供依据。(图1)

澳门新濠3559 4

防火墙的分类
防火墙技术根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙和代理服务器两种类型。

防火墙的工作原理
1.包过滤防火墙工作原理(图2)
澳门新濠3559 5

2.代理服务型防火墙工作原理
代理服务型防火墙是在应用层上实现防火墙功能的。它能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。

iptables简介
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

iptables基础
规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。

Iptables表、链、规则(图3)
澳门新濠3559 6

iptables传输数据包的过程
① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。(图4)
澳门新濠3559 7

iptables命令格式

iptables的命令格式较为复杂,一般的格式如下:
iptables [-t table] 命令 [chain] [rules] [-j target]
table——指定表明
命令——对链的操作命令
chain——链名
rules——规则
target——动作如何进行
1.表选项
表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。
2.命令选项iptables命令格式

命令 说明
-P或–policy <链名> 定义默认策略
-L或–list <链名> 查看iptables规则列表
-A或—append <链名> 在规则列表的最后增加1条规则
-I或–insert <链名> 在指定的位置插入1条规则
-D或–delete <链名> 从规则列表中删除1条规则
-R或–replace <链名> 替换规则列表中的某条规则
-F或–flush <链名> 删除表中所有规则
-Z或–zero <链名> 将表中数据包计数器和流量计数器归零

3.匹配选项
匹配 说明
-i或–in-interface <网络接口名> 指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
-o或–out-interface <网络接口名> 指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
-p或—proto协议类型 < 协议类型> 指定数据包匹配的协议,如TCP、UDP和ICMP等
-s或–source <源地址或子网> 指定数据包匹配的源地址
–sport <源端口号> 指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
-d或–destination <目标地址或子网> 指定数据包匹配的目标地址
–dport目标端口号 指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

4.动作选项
动作 说明
ACCEPT 接受数据包
DROP 丢弃数据包
REDIRECT 与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
SNAT 源地址转换,即改变数据包的源地址
DNAT 目标地址转换,即改变数据包的目的地址
MASQUERADE IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNAT
LOG 日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错

iptables命令格式(图5)
澳门新濠3559 8

iptables过滤条件(图6)
澳门新濠3559 9

iptables的语法

1.定义默认策略
当数据包不符合链中任一条规则时,iptables将根据该链预先定义的默认策略来处理数据包,默认策略的定义格式如下。
iptables [-t表名] <-P> <链名> <动作> ?参数说明如下。
[-t表名]:指默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
<-P>:定义默认策略。
<链名>:指默认策略将应用于哪个链,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
<动作>:处理数据包的动作,可以使用ACCEPT(接受数据包)和DROP(丢弃数据包)。

2.查看iptables规则
查看iptables规则的命令格式为:
iptables [-t表名] <-L> [链名]
参数说明如下。
[-t表名]:指查看哪个表的规则列表,表名用可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认查看filter表的规则列表。
<-L>:查看指定表和指定链的规则列表。
[链名]:指查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING,如果不指明哪个链,则将查看某个表中所有链的规则列表。

3.增加、插入、删除和替换规则
相关规则定义的格式为:
iptables [-t表名] <-A | I | D | R> 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] <-j动作>
参数说明如下。
[-t表名]:定义默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
-A:新增加一条规则,该规则将会增加到规则列表的最后一行,该参数不能使用规则编号。
-I:插入一条规则,原本该位置上的规则将会往后顺序移动,如果没有指定规则编号,则在第一条规则前插入。
-D:从规则列表中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。
-R:替换某条规则,规则被替换并不会改变顺序,必须要指定替换的规则编号。
<链名>:指定查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
[规则编号]:规则编号用于插入、删除和替换规则时用,编号是按照规则列表的顺序排列,规则列表中第一条规则的编号为1。
[-i | o 网卡名称]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。
[-p 协议类型]:可以指定规则应用的协议,包含TCP、UDP和ICMP等。
[-s 源IP地址 | 源子网]:源主机的IP地址或子网地址。
[--sport 源端口号]:数据包的IP的源端口号。
[-d目标IP地址 | 目标子网]:目标主机的IP地址或子网地址。
[--dport目标端口号]:数据包的IP的目标端口号。
<-j动作>:处理数据包的动作,各个动作的详细说明可以参考前面的说明。

4.清除规则和计数器
在新建规则时,往往需要清除原有的、旧的规则,以免它们影 ?响新设定的规则。如果规则比较多,一条条删除就会十分麻烦, ?这时可以使用iptables提供的清除规则参数达到快速删除所有的规 ?则的目的。
定义参数的格式为:
iptables [-t表名] <-F | Z>
参数说明如下。
[-t表名]:指定默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
-F:删除指定表中所有规则。
-Z:将指定表中的数据包计数器和流量计数器归零。

NAT的定义
NAT英文全称是Network Address Translation,称是网络地址转换,它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP地址的使用。

NAT的类型

静态NAT(Static NAT)
静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态地址NAT(Pooled NAT)
动态地址NAT是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。

网络地址端口转换NAPT(Port-Level NAT)
NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上。
最熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

iptables实例

禁止客户机访问不健康网站
【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站。
iptables -I FORWARD -d www.sexy.com -j DROP
【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。
iptables -I FORWARD -d 20.20.20.20 -j DROP

禁止某些客户机上网
【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。
iptables -I FORWARD -s 192.168.1.X -j DROP
【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。
iptables -I FORWARD -s 192.168.1.0/24 -j DROP

禁止客户机访问某些服务
【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP
【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 23 -j DROP

强制访问指定的站点
【例】强制所有的客户机访问192.168.1.x这台Web服务器。
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.x:80

禁止使用ICMP协议
【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。
iptables -I INPUT -i ppp0 -p icmp -j DROP

发布内部网络服务器
【例1】发布内网10.0.0.3主机的Web服务,Internet用户通过访问防火墙的IP地址即可访问该主机的Web服务。
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 10.0.0.3:80
【例2】发布内网10.0.0.3主机的终端服务(使用的是TCP协议的3389端口),Internet用户通过访问防火墙的IP地址访问该机的终端服务。
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 10.0.0.3:3389

案例详解
【案例1】做为客户端/终端的基本配置 ?DNS PING LO
【案例2】做为服务端的基本配置:SSH DNS WWW FTP EMAIL (图7)
澳门新濠3559 10
【案例3】做为网关的基本配置:SSH DNS WWW FTP EMAIL NAT )SNAT DNAT)限速 (图8)
澳门新濠3559 11
【案例4】状态检测(图9)
澳门新濠3559 12

★★★★★★★★★★★★★★★★★视频观看地址★★★★★★★★★★★★★★★★★★

编辑:操作系统 本文来源:filter是iptables默认使用的表澳门新濠3559:,三层

关键词: