Linux防火墙——iptables、SNAT与DNAT的应用
文章目录
- 一、iptables
- 1.1 Linux包过滤防火墙简述
- 1.2 iptables的表、链结构
- 1.3 数据包控制的匹配流程
- 二、编写防火墙规则
- 2.1 基本语法、控制类型
- 2.2 添加、查看、删除规则
- 2.3 总结:常见管理选项汇总
- 2.4 规则的匹配条件
- 2.5 总结:常用管理选项汇总
- 三、SNAT策略及应用
- 3.1 SNAT概述
- 3.2 配置前提条件
- 四、SNAT与DNAT实验
一、iptables
1.1 Linux包过滤防火墙简述
- netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
- iptables
- 位于/sbin/iptables,用来管理防火墙规则的工具
- 称为Linux防火墙的“用户态”
1.2 iptables的表、链结构
- 规则链
- 规则的作用:对数据包进行过滤或处理
- 链的作用:容纳各种防火墙规则
- 链的分类依据:处理数据包的不同时机
- 默认包括5中规则链
- INPUT:处理入站数据包
- OUTPUT:处理出站数据包
- FORWARD:处理转发数据包
- POSTROUTING:在进行路由选择后处理数据包
- PREROUTING:在进行路由选择前处理数据包
- 规则表
- 表的作用:容纳各种规则链
- 表的划分依据:防火墙规则的作用相似
- 默认包括4个规则表
- raw表:确定是否对该数据包进行状态跟踪
- mangle表:为数据包设置标记
- nat表:修改数据包中的源、目标IP地址或端口
- filter表:确定是否放行该数据包(过滤)
1.3 数据包控制的匹配流程
- 规则表之间的顺序
raw→mangle→nat→filter
- 规则链之间的顺序
- 入站:PREROUTING→INPUT
- 出站:OUTPUT→POSTROUTING
- 转发:PREROUTING→FORWARD→POSTROUTING
- 规则链内的匹配顺序
- 按顺序一次检查,匹配即停止(LOG策略例外)
- 若找不到相匹配的规则,则按该链的默认策略处理
二、编写防火墙规则
2.1 基本语法、控制类型
语法:
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
例:
iptables -t filter -I INPUT -p icmp -j REJECT
- 注意事项
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
- 数据包的常见控制类型
- ACCEPT:允许通过
- DROP:直接丢弃,不给出任何回应
- REJECT:拒绝通过,必要时会给出提示
- LOG:记录日志信息,然后传给下一跳规则继续匹配
2.2 添加、查看、删除规则
- 添加新的规则
- -A:在链的末尾追加一条规则
- -I:在链的开头(或指定序号)插入一条规则
例:
[root@client ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
[root@client ~]# iptables -I INPUT -p udp -j ACCEPT
[root@client ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
- 查看规则表
- -L:列出所有的规则条目
- -n:以数字形式显示地址、端口等信息
- -v:以更详细的方式显示规则信息
- –line-numbers:查看规则时,显示规则的序号
例:查看规则列表
[root@client ~]# iptables -n -L INPUT --line-numbers
- 删除、清空规则
- -D:删除链内指定序号(或内容)的一条规则
- -F:清空所有的规则
例:
[root@client ~]# iptables -D INPUT 3
[root@client ~]# iptables -n -L INPUT
[root@client ~]# iptables -t nat -F
- 设置默认策略
- -p:为指定的链设置默认规则
例:
[root@client ~]# iptables -t filter -P FORWARD DROP
[root@client ~]# iptables -P OUTPUT ACCEPT
2.3 总结:常见管理选项汇总
| 类别 | 选项 | 用途 |
|---|---|---|
| 添加新的规则 | -A | 在链的末尾追加一条规则 |
| -I | 在链的开头(或指定序号)插入一条规则 | |
| 查看规则列表 | -L | 列出所有的规则条目 |
| -N | 以数字形式显示地址、端口等信息 | |
| -V | 以更详细的方式显示规则信息 | |
| –line-numbers | 查看规则时,显示规则的序号 | |
| 删除、清空规则 | -D | 删除链内指定序号(或内容)的一条规则 |
| -F | 清空所有的规则 | |
| 设置默认策略 | -P | 为指定的链设置默认规则 |
2.4 规则的匹配条件
- 通用匹配
- 可直接使用,不依赖于其他条件或扩展
- 包括网络协议、IP地址、网络接口等条件
- 隐含匹配
- 要求以特定的协议匹配作为前提
- 包括端口、TCP标记、ICMP类型等条件
- 显示匹配
- 要求以"-m 扩展模块"的形式明确指出类型
- 包括多端口、MAC地址、IP范围、数据包状态等条件
- 常见的通用匹配条件
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d目的地址
- 接口匹配:-i 入站网卡、-o出站网卡
例:
[root@client ~]# iptables -I INPUT -p icmp -j DROP
[root@client ~]# iptables -A -FORWARD ! -p icmp -j ACCEPT
ps:感叹号表示条件取反
[root@client ~]# iptables -A -FORWARD -s 192.168.1.10 -j REJECT
[root@client ~]# iptables -I INPUT -s 10.10.10.0/24 -j DROP
[root@client ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP
- 常用的隐含匹配条件
- 端口匹配:–sport 源端口、–dport目的端口
- ICMP匹配:–icmp-type ICMP类型
例:
[root@client ~]# iptables -A FORWARD -s 192.168.5.0/24 -p udp --dport 53 -j ACCEPT
[root@client ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
- 常用的显示匹配条件
1、多端口匹配:-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
2、IP范围匹配:-m iprange --src-range IP范围
3、MAC地址匹配:-m mac --mac-source MAC地址
4、状态匹配:-m state --state 连接状态
例:
[root@client ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
[root@client ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.5.43-192.168.5.46 -j ACCEPT
[root@client ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP
2.5 总结:常用管理选项汇总
| 类别 | 条件类型 | 用法 |
|---|---|---|
| 通用匹配 | 协议匹配 | -p 协议名 |
| 地址匹配 | -s 源地址、-d 目的地址 | |
| 接口匹配 | -i 入站网卡、-o 出站网卡 | |
| 隐含匹配 | 端口匹配 | –sport 源端口、–dport 目的端口 |
| ICMP类型匹配 | –icm-type ICMP类型 | |
| 显式匹配 | 多端口匹配 | -m multiport --sports | --dports 端口列表 |
| IP范围匹配 | -m iprange --src-range IP范围 | |
| MAC地址匹配 | -m mac --mac-source MAC地址 | |
| 状态匹配 | -m state --state 连接状态 |
三、SNAT策略及应用
3.1 SNAT概述
- SNAT策略的典型应用环境
局域网主机共享单个公网IP地址接入Internet
- SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包的源地址
3.2 配置前提条件
- 局域网各主机正确设置IP地址/子网掩码
- 局域网各主机正确设置默认网关地址
- Linux网关支持IP路由转发
实现方法:编写SNAT转换挥规则
[root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 218.29.30.31
四、SNAT与DNAT实验
- 实验环境
Centos 7.6、VMware Workstation 15.5
- 实验准备
-
准备三台centos7.6虚拟机,分别作为内网机、防火墙、外网机
-
分别在内网机及外网机上安装并开启httpd服务,并清空自身的防火墙规则(作为防火墙的虚拟机也要清除规则!):iptables -F
-
将三台虚拟机的网卡调整为VM1(仅主机模式),其中防火墙要添加双网卡
-
内网机IP地址为:192.168.100.100
外网机:12.0.0.12
防火墙:(内):192.168.100.1
(外):12.0.0.1
- 实验步骤:
1、在防火墙机上开启数据转发功能
进入配置文件:vi /etc/sysctl.conf
在末行添加以下内容:net.ipv4.ip_forward=1
使配置立即生效:sysctl -p
2、在作为防火墙的虚拟机上添加如下规则
iptables -t nat -I POSTROUTING -s 192.168.100.100 -o ens36 -j SNAT --to-source 12.0.0.1
在内网机上访问外网机上的http服务:
3、在外网机上查看http服务的访问日志,路径:cat /var/log/httpd/access_log
可以看出访问的地址发生了变化,已经不是192.168.100.100了,而是12.0.0.1
3、到目前为止外网机还不能直接访问内网机,所以要在防火墙上添加如下规则:
iptables -t nat -I PREROUTING -d 12.0.0.1 -i ens36 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.100
接着在外网机的浏览器上直接访问地址12.0.0.1,发现已经可以访问了