iptables实现网络防火墙及地址转换

iptables主机防火墙功能及常用命令

FSM:Finite State Machine 有限状态机

客户端：closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL)

服务器：closed -->listen -->syn_rcvd -->establised --> close_wait -->last_ack





-m state:追踪连接状态

   模板：内存中会维持一个空间

       NEW

       ESTABLISHED

       RELATED

       INVALID

在前端的服务器中尽量不要开启追踪连接





iptables子命令

  规则：-A,-I,-D,-R

  链：-N,-X,-F,-Z,-E,-P -S

      通：默认 DROP

      堵：默认ACCEPT

  显示：-L -S

      -L 

       -n -v -x --line-numbers





  规则定义：iptables -t table -A|-I|-R chain 匹配条件 -j target

      匹配条件

         通用匹配：-s -d -i -o -p

         扩展匹配

             隐含扩展

               -p tcp

                --sport --dport --tcp-flags

                --syn

               -p udp

                 --sport --dport

               -p icmp

                  --icmp-type

                    echo-request 8

                    echo-reply 0

              显示扩展：

                 -m state 

                    --state

                 -m multiport

                    --sprots, --dports,  --ports

                 -m iprange

                    --src-range, --dst-range

                 -m string

                    -algo {bm|kmp} --string --hex-string

                 -m connlimit

                   ! --connlimit-above

                 -m limit

                   --limit n(/second|/minute|/hour|/day), --limit-burst

                 -m time

                    --datestart --datestop

                    --timestart -- timestop

                    --weekdays

           -j

             ACCEPT,DROP,REJECT,LOG,REDIRECT,SNAT,DNST,MASQUERADE,MARK,RETURN,自定义链





四表：raw mangle nat filter 

五链：PREROUTING INPUT FOEWARD OUTPUT POSTOUTING





规则保存和恢复：iptables-save iptables-restore





主机防火墙：INPUT OUTPUT

网络防火墙：FORWARD

路由：

    NAT：

/proc/sys/net/ipv4/ip_forward





地址属于内核，地址当前属于主机的都给予响应





路由：对Linux主机而言，设定/proc/sys/net/ipv4/ip_forward的值为1，即为开启路由

     路由表的生成

       静态：手动添加

       动态：基于路由协议学习，RIP2 OSPF

NAT：网络地址转换

     A:10

     B:172.16-172.31

     C:192.168.0-192.168.255





     NAT: 工作于传输层和网络层

        过载技术

        Basic NAT:静态NAT

        NAPT：动态NAT，网络地址端口转换

             源地址转换：SNAT 用于内网主机访问互联网

             目标地址转换：DNAT

             让互联网上主机访问本地内网中的某服务器上的服务（发布）





        iptables基于SNAT和DNAT这两个目标实现地址转换技术

        -j SNT --to-source SIP

          规则添加：POSTROUTING链

        -j MASQUERAADE  动态获取





        -j DNAT --to-destination DIP{:PORT}

        支持端口映射









        基于nat表

           PREROUTING

           POSTROTING

           OUTPUT

Proxy(代理):工作在应用层

举例说明：

网络拓扑

简单网络访问路由转发功能

172.16.1.10能ping通192.168.8.40，但不能ping通192.168.8.39

192.168.8.39能Ping通172.16.1.254，但不能ping通172.16.1.10

原因：linux中网卡程序都加载于系统内核中，运行在上面的网卡程序会被系统认为是同一个设备



配置开启路由转发功能

# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

让配置生效

# sysctl -p

也可以，采用如下命令临时生效

# sysctl -w net.ipv4.ip_forward=1

验证

# cat /proc/sys/net/ipv4/ip_forward

windows客户端添加路由，也可以实现访问

route add 172.16.1.0 mask 255.255.255.0 172.16.1.254

将转发规则屏蔽，则无法访问

# iptables -P FORWARD DROP

对常见服务的放行实例

放行192.168.8.39中80口的访问

# iptables -A FORWARD -s 172.16.1.10 -d 192.168.8.39 -p tcp --dport 80 -j ACCEPT

# iptables -A FORWARD -d 172.16.1.10 -s 192.168.8.39 -p tcp --sport 80 -j ACCEPT





放行172.16.1.0/24网段对192.168.8.0网段22号端口的访问

# iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.8.0/24 -p tcp --dport 22 -j ACCEPT

# iptables -A FORWARD -s 192.168.8.0/24 -d 172.16.1.0/24 -p tcp --sport 22 -j ACCEPT





重新编写规则

# iptables -F FORWARD

# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

# iptables -R FORWARD 2 -d 192.168.8.39 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT





nat规则举例





初始化：

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT

//需要accept否则将无法通过路由转发任何数据包

# iptables -P FORWARD ACCEPT

模拟dnat功能之互联网访问局域网服务器

外网端：172.16.1.10

内网端：192.168.8.39





//将访问172.16.1.254 80端口的服务映射到8.89的80端口上

# iptables -t nat -F

# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.39





在目标8.39的web日志中可以看到是172.16.1.10访问的，而不是192.168.8.40路由访问





禁止172.16.1.10的IP访问

# iptables -I FORWARD -s 172.16.1.10 -j REJECT





通过外网地址172.16.1.254的22022端口访问192.168.8.39的22号端口(相当于端口映射)

# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 22022 -j DNAT --to-destination 192.168.8.39:22

模拟snat功能之局域网访问互联网应用

172.16.1.10 和 172.16.1.254的eth1都放置于 vmnet2虚拟交换环境中

充当路由功能的机器

外网接口：

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=none

IPADDR=192.168.8.15

BROADCAST=192.168.8.255

NETMASK=255.255.255.0

GATEWAY=192.168.8.254

NETWORK=192.168.8.0





DNS配置

/etc/resolve.conf

nameserver 192.168.8.251





内网接口：

# cd /etc/sysconfig/network-scripts/

# cp ifcfg-eth0 ifcfg-eth1





DEVICE=eth1

ONBOOT=yes

BOOTPROTO=none

IPADDR=172.16.1.254

BROADCAST=172.16.1.255

NETMASK=255.255.255.0

NETWORK=172.16.1.0

内网的机器：

172.16.1.10

DNS:192.168.8.251

GAWEWAY:172.16.1.254





配置192.168.8.251

# vim /etc/sysctl.conf

打开防火墙转发功能

net.ipv4.ip_forward = 1





sysctl -p 使配置生效





在防火墙上添加规则，对来自内网 172.16.1.0网段的机器进行源地址转换

# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 192.168.8.15

测试在内网机器中可以访问互联网