防火墙--iptables(SNAT和DNAT)
文章目录
- 1.iptables服务环境
- 2.iptables配置
- 3.数据包过滤的匹配流程
- 4.iptables规则
-
- 4.1iptables规则表
- 4.2iptables规则链
- 4.3表、链归纳图
- 5.iptables基本语法
-
- 5.1规则的匹配条件
-
- 5.1.1通用匹配
- 5.1.2隐含匹配
- 5.1.3显式匹配
- 6. SNAT和DNAT
-
- 6.1环境准备
- 6.2 SNAT
-
- 6.2.1 SNAT策略配置
- 6.3 DNAT
-
- 6.3.1 DNAT策略配置
1.iptables服务环境
systemctl stop firewalld ##关闭firewalld防火墙
yum -y install iptables iptables-services
systemctl start iptables.service ##启动iptables防火墙
systemctl enable iptables.service
2.iptables配置
配置文件:/etc/sysconfig/iptables
对规则的修改:需要全部刷新策略,丢失连接
防火墙类型:静态防火墙
3.数据包过滤的匹配流程
4.iptables规则
规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
规则作用:对数据包的过滤或处理
链的分类依据:处理数据包的不同时机
4.1iptables规则表
| 规则表 | 作用 |
|---|---|
| raw表 | 确定是否对该数据包进行状态追踪 |
| mangle表 | 为数据包设置标记 |
| nat表 | 修改数据包中的源、目标IP地址或端口 |
| filter表 | 确定是否放行该数据包(过滤) |
4.2iptables规则链
| 规则链 | 作用 |
|---|---|
| INPUT | 处理入站数据包 |
| OUTPUT | 处理出站数据包 |
| FORWARD | 处理转发数据包 |
| POSTROUTING | 在进行路由选择后处理数据包 ===>SNAT基于源地址 |
| PREROUTING | 在进行路由选择前处理数据包 ===>DNAT基于目的地址 |
入站:PREROUTING→INPUT
出战:OUTPUT→POSTROUTING
转发:PREROUTING→FORWARD→POSTROUTING
顺序依次检查,匹配即停止
找不到匹配规则,按默认策略处理
4.3表、链归纳图
5.iptables基本语法
iptables 【-t 表名】 选项 【链名】 【条件】 【-j 控制类型】
注意事项:
不指定表明时、默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
清空规则时,默认策略不受影响,修改默认策略用-P选项覆盖,且默认策略只有accept和drop,默认策略不参加规则编排
选项:
-A:在指定链末尾添加一条新的规则(–append)
-D:删除指定链中的某一条规则,可指定规则序号或具体内容(–delete)
-I:在指定链中插入一条新的规则,未指定序号时默认作为第一条规则(–insert)
-R:修改、替换指定链中的某一条规则,可指定规则序号或具体内容(–replace)
-L:列出指定链中所有的规则,若未指定链名,则列出表中所有链(–list)
-F:清空指定链中的所有规则,若未指定链名,则清空表中的所有链(–flush)
-P:设置指定链的默认策略(–policy)
-n:使用数字形式显示输出结果,如IP地址而不是主机名(–numeric)
-V:查看时显示详细信息
-h:查看帮助
–Line-numbers:显示行号
控制类型:
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给提示
LOG:记录日志信息,然后继续向下匹配规则
5.1规则的匹配条件
5.1.1通用匹配
可直接使用,不依赖于其他条件或扩展
包括网络协议、IP地址、网络接口等条件
协议匹配:: -p 协议名
·常用协议:tcp、udp、icmp、all(所有)
地址匹配: -s 源地址 -d 目的地址
例:
-s 192.168.20.10 ##源地址 默认子网掩码32位的主机地址
-d 192.168.20.0/24 ##目标地址为 网段地址
接口匹配: -i 入站网口 -o 出站网口(网卡)
例:
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -i ens33 -p all -j ACCEPT
-o ens37
5.1.2隐含匹配
要求以特定的协议匹配作为前提
包含端口、TCP标记、ICMP类型等条件
端口匹配:- -sport 源端口、- -dport 目的端口
例:
iptables -A INPUT -s 192.168.20.0/24 -p udp --deport 53 -j ACCEPT
iptables -A OUTPUT -s 192.168.20.0/24 -p udp --sport 53:20:21 -j ACCEPT
ICMP类型匹配:–icmp-type ICMP类型
·ICMP类型:8(request)拒绝、0(reply)丢弃、3(host unreachable)主机不可达
例:
-p icmp --icmp-type 8
5.1.3显式匹配
要求以"-m 扩展模块"的形式明确指出类型
包含多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配:
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例:
-m multiport --deport 20,21,53,80
IP范围匹配:-m iprange --src-range 源IP范围
-m iprange --dst-range 目标IP范围
例:
-m iprange --src-range 192.168.20.10-192.168.20.20
-m iprange --dst-range 192.168.20.10-192.168.20.20
MAC地址匹配:-m mac --mac-source MAC地址
例:
-m mac --mac-source 00:0c:29:7d:b8:d5
状态匹配:-m state --state 连接状态
·连接状态:NEW:与任何连接无关
ESTABLISHED:相应请求或已建连接
RELATED:与已有连接有相关性的,如FTP数据连接
例:
-m -state --state NEW -p tcp !--syn -j DROP
6. SNAT和DNAT
6.1环境准备
开启路由功能
echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf ##配置路由功能配置文件
sysctl -p ##更新路由配置
6.2 SNAT
原理:修改数据包中的源IP地址
作用:局域网主机共享单个公网IP地址接入Internet
配置:nat表中的POSTROUTING链(出战)
主机A想访问互联网上的主机C,首先将请求数据包发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip,然后经互联网发送给C。
6.2.1 SNAT策略配置
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ens37 -j SNAT--to-source 218.29.30.31
## -s 内网网段
## -o 防火墙服务器外网网卡
## -j SNAT策略
## --to-source 防火墙服务器外网口IP地址
6.3 DNAT
原理:修改数据包中的目标IP地址
作用:将位于企业局域网中的服务器进行发布至互联网
配置:nat表中的PREROUTING链(入站)
互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包到达防火墙B后,在B上将请求数据包的目标地址进行修改,并将数据包发送给A。
6.3.1 DNAT策略配置
iptables -t nat -A PREROUTING -d 218.29.30.31 -i ens37 -j DNAT--to-destination 192.168.20.10
## -d 防火墙服务器外网口IP地址
## -i 防火墙服务器外网网卡
## -j DNAT策略
## --to-destination 内网服务器IP地址