Linux安全管理 之二 简单配置-地址转换-状态匹配

本文主要是 简单的介绍防火墙的:简单配置->state->SNAT->DNAT...

==>环境介绍:

三台虚拟主机:

第一台: 内网主机

桥接

第二台: 防火墙

①,桥接

②vmnet5

第三台: 外网主机

vmnet5

     第四台: 真实主机

如何让WinXP主机访问Web主机通信并且配置相应策略呢??

==>配置网关实现基本通信:

第一步:  将内网主机的网关指向192.168.10.10;

第二步:  将防火墙的转发功能开启;

[root@Firwall ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward =1

第三部:  将外网主机的网关指向172.16.17.201; 说明: 对于Linux主机来说，设定/proc/sys/net/ipv4/ip_forward的值为1，即为开启了路由功能.

第一种方法==>配置Web服务/测试访问:

1).启动web服务并且创建index.html网页文件:

[root@Web ~]# vim /var/www/html/index.html
Welcome to xiaoma home!!
[root@Web ~]#service httpd restart

2).测试访问:

(1)防火访问:

[root@Firwall ~]# curl  http://192.168.10.20
Welcome to xiaoma home!!
[root@Firwall ~]#

(2)外网Win XP访问(成功):

==>给自己的真实主机添加一条路由实现访问Web服务:

1).开始->运行->输入cmd->添加如下内容:

2).查看路由表:

3).真实主机访问:

==>如果只想让Win XP访问,而不想让真实主机访问Web,怎么办呢?那么这时候就是防火墙起作用的时候了:

1).配置如下:

[root@Firwall ~]# iptables -P FORWARD DROP
[root@Firwall ~]# iptables -A FORWARD -s 172.16.17.222 -d 192.168.10.20 -p tcp --dport 80 -j ACCEPT
[root@Firwall ~]# iptables -A FORWARD -s 192.168.10.20 -d 172.16.17.222 -p tcp --sport 80 -j ACCEPT
查看是否已经匹配到报文:
[root@Firwall ~]# watch -n1 'iptables -L -n -v'

2).真实主机 访问(失败):

3).那么Win XP能访问吗(成功)?

==>如果我想让Win XP 能远程连接,那有该如何设置呢?

1).配置如下:

[root@Firwall ~]# iptables -A FORWARD -s 172.16.0.0/16 -d 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@Firwall ~]# iptables -A FORWARD -s 192.168.10.0/24 -s 172.16.0.0/16 -p tcp --sport 22 -j ACCEPT

2).WinXP连接测试(成功)?

3).最后保存规则:

[root@Firwall ~]# service iptables save

第二种方法==>下面这种方法配置的规则效果要比上面的配置,性能要大大提升的...这就是优化规则的效果:

注意: 这里我把之前写的清空了哈,为了演示效果,那么配置如下:

1).先清空规则:

[root@Firwall ~]# iptables -F FORWARD

2)).只要状态是ESTABLISHED就放行:

[root@Firwall ~]# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

2).只要状态是NEW就放行:

[root@Firwall ~]# iptables -A FORWARD -d 192.168.10.20 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT

3).结果和上面的就是一样的,在此就不给出截图了!

---

NAPT：动态NAT，网络地址端口转换；

源地址转换：SNAT，用于让内网主机访问互联网

目标地址转换：DNAT，让互联网上主机访问本地内网中的某服务器上的服务，(发布机制)

一、如何做SNAT地址转换后在做下过滤呢?

1).配置如下：

[root@Firwall ~]# iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.10.10

2).Win XP访问(成功):

3).查看Web服务的访问日志(原来的是172.16.17.222主机的地址,现在做了源地址转换.):

4).如何将带有 "welcome" 的关键字过滤掉呢 ?配置如下:

[root@Firwall ~]# iptables -P FORWARD ACCEPT
[root@Firwall ~]# iptables -F FORWARD
[root@Firwall ~]# iptables -A FORWARD -d 172.16.0.0/16 -p tcp --sport 80 -m string --algo kmp --string "welcome" -j REJECT

5).WinXP访问(失败):

---

二、如何做DNAT地址转换并且让真实主机访问,而不让虚拟主机的Win XP访问呢?

注意172.16.17.201的主机上并没有web服务,而是由于做了目标地址转换的,你可以这样想的,实际上他访问的还是web服务器本身;

1.配置如下:

1).将之前的规则清空以免会有影响且配置;

[root@Firwall ~]#iptables -t nat -F
[root@Firwall ~]# iptables -F
[root@Firwall ~]# iptables -t nat -A PREROUTING -d 172.16.17.201 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.20

2).这时使用WinXP访问: http://172.16.17.201/(成功):

3).真是主机:访问也是可以的,请看:

2.如果说这时候你不想让Win XP 访问,而真实主机还是能访问的怎么办呢?

1).配置如下:

[root@Firwall ~]# iptables -A FORWARD -s 172.16.17.222 -j REJECT

2).Win XP访问(失败):

3.如何将所有外网用户请求地址为172.16.17.201并且端口是22022的就转发至192.168.10.20上的22端口,如何配置呢?

1).配置如下:

[root@Firwall ~]# iptables -t nat -A PREROUTING -d 172.16.17.201 -p tcp --dport 22022 -j DNAT --to-destination 192.168.10.20:22
[root@Firwall ~]# iptables -F FORWARD
[root@Firwall ~]# service iptables save

2).Win XP 使用ssh建立连接请求(成功):

---

欢迎访问小马子的博客！！