如何用iptables实现NAT

如何用iptables实现NAT

准备工作：

 

1)在使用iptables防火墙之前，必须先打开IP转发功能。

# echo “1” > /proc/sys/net/ipv4/ip_forward

2)以上内容（第6步生成的内容）保存到 /etc/sysconfig/iptables文件中。

3）每修改一次iptables文件后，都要重启iptalbes

    # service iptables restart

 

可以用iptables为 Unix、Linux和BSD个人工作站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。iptales只读取数据包头，不会给信息流 增加负担，也无需进行验证。要想获得更好的安全性，可以将其和一个代理服务器（比如squid）相结合。

基本概念

典型的防火墙设置有两个网卡：一个流入，一个流出。iptables读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。

通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要 做些什么的指令，规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤 表内的链中。关于添加、去除、编辑规则的命令，一般语法如下：

iptables [-t table] command [match] [target]

1．表（table）

[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项：filter、nat和mangle。该选项不是必需的，如果未指定，则filter作为缺省表。各表实现的功能如表1所示。

表1 三种表实现的功能

2．命令（command）

command部分是iptables命令最重要的部分。它告诉iptables命令要做什么，例如插入规则、将规则添加到链的末尾或删除规则。表2是最常用的一些命令及例子。

表2 命令的功能和样例

3．匹配（match）

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征（如源地址、目的地址、协议等）。匹配分为通用匹配和特定于协议的匹配两大类。这里将介绍可用于采用任何协议的信息包的通用匹配。表3是一些重要且常用的通用匹配及示例说明。

表3 通用匹配及示例说明

4．目标（target）

目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。表4是常用的一些目标及示例说明。

除表4外，还有许多用于建立高级规则的其它目标，如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。

表4 目标及示例说明

应用iptables

与ipchains和ipfwadm不同的是，iptables可以配置有状态的防 火墙。iptables可以检测到源地址和目的地址、源端口和目的端口及流入数据包的顺序，即iptables记住了在现有连接中，哪些数据包已经被允许 接收。这使得暂时性的端口只有在需要时才会被打开，并且会拒绝所有永久性占用端口的请求，大大地加强了安全性。同时，那些被更改了报头的数据包，即使包含 有一个被允许的目的地址和端口，也会被检测到并被丢弃。此外，有状态的防火墙能够指定并记住为发送或接收信息包所建立连接的状态。防火墙可以从信息包的连 接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。

1．启动和停止iptables

下面将正式使用iptables来创建防火墙。启动和停止iptables的方法取决于所使用的Linux发行版，可以先查看所使用Linux版本的文档。

一般情况下，iptables已经包含在Linux发行版中，运行iptables --version来查看系统是否安装了iptables。在Red Hat 9.0中，安装的版本是iptables v1.2.7a。如果系统没有安装iptables，则可以从http://www.netfilter.org下载。

2．查看规则集

上面仅对iptables的用法做了一个简单介绍，使用中可以运行man iptables来查看所有命令和选项的完整介绍，或者运行iptables -help来查看一个快速帮助。要查看系统中现有的iptables规划集，可以运行以下命令：

 

iptables --list

下面是没有定义规划时iptables的样子：

 

Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

如上例所示，每一个数据包都要通过三个内建的链（INPUT、OUTPUT和FORWARD）中的一个。

filter是最常用的表，在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包，不再对其进行任何处理。REJECT会把出错信息传送至发送数据包的主机。

3．增加规则

本例中的规则将会阻止来自某一特定IP范围内的数据包，因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动：

 

# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP

也可以很轻易地阻止所有流向攻击者IP地址的数据包，该命令稍有不同：

 

# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP

注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。

4．删除规则

网络上的恶意攻击者总是在变化的，因此需要不断改变IP。假设一个网上攻击者转移到新的IP地址，而其老的IP地址被分配给一些清白的用户，那么这时这些用户的数据包将无法通过你的网络。这种情况下，可以使用带-D选项的命令来删除现有的规则：

 

# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP

5．缺省的策略

创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间。对于那些没有时间这样做的人，最基本的原则是“先拒绝所有的数据包，然后再允许需要的”。下面来为每一个链设置缺省的规则：

 

# iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT

这里选项-P用于设置链的策略，只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出，但不允许信息流入。很多时候需要接收外部信息，则可使用以下命令：

 

# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT

6．SYN的使用

不能关闭所有端口，也不能只指定某些端口处于打开状态，那么怎样才能设置一个有效的规则，既可以允许普通用户正常通过，又可以阻止恶意攻击者访问网络呢？

刚开始使用iptables的人可以充分利用syn标识来阻止那些未经授权的访问。 iptables只检测数据包的报头，事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。比如，在进行Web冲浪时，一个请求从 你的PC发送至其它地方的Web服务器上，该服务器会响应请求并发回一个数据包，同时得到你系统上的一个临时端口。与响应请求不同的是，服务器并不关心所 传送的内容。可以利用这种特点来设置规则，让它阻止所有没有经过你系统授权的TCP连接：

 

# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP

这里的-i指的是网卡，-p则是指协议，--syn则表示带有syn标识设置的TCP数据包。SYN用于初始化一个TCP连接，如果自己机器上没有运行任何服务器，别人也就不会向你发送SYN数据包。

7．有状态的数据包的检测

前边的例子把每一个数据包看成是独立的，而不是相互关联的，依靠的是数据包的头信 息。iptables会检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记（SYN、ACK、FIN、 RST等）的状态，即它会跟踪整个连接会话，从而使整个过滤过程是相互关联的。

8．共享一个Internet连接

网络地址翻译和IP伪装都可以实现多台主机共享一个Internet连接，这个局域 网可以是Linux和Windows系统组成的多系统局域网。假设现在有一台机器，配有两个网卡，其中eth0为“公共”网卡，eth1为“私有”网卡， 即eth0被分配了一个静态的、可路由的IP地址，而eth1被分配了一个私有的、不能路由的IP，该IP是属于该局域网子网的。要实现上述功能，需要向 nat和filter表中添加一些链：

 

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT

这显示了有状态的数据包检测的价值。请注意，这里是如何实现流入数据包只有在属于一个已经存在的连接时才被允许，而所有来自局域网内流向外的数据包则都允许通过。第一条规则让所有流出的信息看起来都是来自防火墙机器的，而并不会显示出防火墙后面还有一个局域网。

下面的命令为FORWARD和POSTROUTING链设置缺省的策略，在使用伪装时，有一个缺省的POSTROUTING DROP策略非常重要，否则就可能有心怀恶意的用户突破网关后伪装自己的身份。

 

# iptables -t filter -P FORWARD DROP # iptables -t nat -P POSTROUTING DROP

下面的命令为拨号连接设置，它可以动态地分配IP地址：

 

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

9．运行服务器时的情况

有时也会把服务器放置在防火墙后面，这时iptables就需要知道从哪儿通过数据包，设置如下所示：

 

# iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to 192.168.0.10:80 # iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 25 -j DNAT -to 192.168.0.11:25

10．规则的保存

到现在为止，所有的例子都是在命令行中进行的。在测试新的规则时，这是一种很好的方式，但一旦测试结果令人满意，就可以将它们保存为脚本。可以使用 iptables-save 命令来实现：

 

$ iptables-save > iptables-script

信息包过滤表中的所有规则都被保存在文件iptables-script中。无论何时再次引导系统，都可以使用iptables-restore命令将规则集从该脚本文件恢复到信息包过滤表。恢复命令如下所示：

 

$ iptables-restore iptables-script

如果愿意在每次引导系统时自动恢复该规则集，则可以将上面指定的这条命令放到任何一个初始化Shell脚本中。

下面的例子并不是一个完整的脚本，它只是描述了如何使用变量及提供了一些附加的规则样例。

 

#!/bin/sh #为变量赋值 IPTABLES=/sbin/iptables LAN_NET="192.168.1.0/24" IFACE= "eth0" LO_IFACE="lo" LO_IP="127.0.0.1" #加载所需的内核 /sbin/modprobe ip_conntrack /sbin/modprobe iptable_nat #缺省情况下，IP转发都处于不可用状态，将其设置为可用状态： echo "1" > /proc/sys/net/ipv4/ip_forward #使IP的动态分配功能可用 echo "1" > /proc/sys/net/ipv4/ip_dynaddr #每次重启这个脚本时，最好清除以前所设的规则 $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -F -t nat #只允许在LAN中使用SSH连接 $IPTABLES -A INPUT -s LAN_NET -p tcp --destination-port ssh -j ACCEPT #允许loopback! $IPTABLES -A INPUT -i lo -p all -j ACCEPT $IPTABLES -A OUTPUT -o lo -p all -j ACCEPT #丢弃那些流入的宣称是来自本地机器的数据包 #丢弃那些流出的不是出自本地机的数据包 $IPTABLES -A INPUT -i $IFACE -s $LAN_NET -j DROP $IPTABLES -A OUTPUT -o $IFACE -s ! $LAN_NET -j DROP #限制一些流出的信息 $IPTABLES -A OUTPUT -o eth0 -p tcp -dport 31337 -j DROP $IPTABLES -A OUTPUT -o eth0 -p tcp -sport 31337 -j DROP #此外，31335、27444、27665、20034 NetBus、9704、137-139（smb）端口也应被禁止。

 

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

本文主要介绍如何使用 iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申 明的是，本文绝对不是 NAT-HOWTO的简单重复或是中文版，在整个的叙述过程中，作者都在试图用自己的语言来表达自己的理解，自己的思想。

 

　　一、概述

 

　　1. 什么是NAT

 

　　在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角 色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC地址以外，路由器不会对转发的数 据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。

 

　　2. 为什么要进行NAT

 

　　我们来看看再什么情况下我们需要做NAT。

 

　　假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分 配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的WWW服务器对外发布信息，这时候我们就可以通过NAT来提供这种服务了。我们可以在防火 墙的外部网卡上绑定多个合法IP地址，然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器 响应包伪装成该合法IP发出的包。

 

　　再比如使用拨号上网的网吧，因为只有一个合法的IP地址，必须采用某种手段让其 他机器也可以上网，通常是采用代理服务器的方式，但是代理服务器，尤其是应用层代理服务器，只能支持有限的协议，如果过了一段时间后又有新的服务出来，则 只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题，

 

　　因为是在应用层以下进行处理，NAT不但可以获得很高的访问速度，而且可以无缝的支持任何新的服务或应用。

 

　　还有一个方面的应用就是重定向，也就是当接收到一个包后，不是转发这个包，而是将其重定向到系统上的某一个应用程序。最常见的应用就是和squid配合使用成为透明代理，在对http流量进行缓存的同时，可以提供对Internet的无缝访问。

 

　　3. NAT的类型

 

　　在linux2.4的NAT-HOWTO中，作者从原理的角度将NAT分成了两种类型，即源NAT(SNAT)和目的NAT(DNAT)，顾名思义，所谓SNAT就是改变转发数据包的源地址，所谓DNAT就是改变转发数据包的目的地址。

 

 

　　二、原理

 

　　在“用iptales实现包过虑型防火墙”一文中我们说过，netfilter 是Linux 核心中一个通用架构，它提供了一系列的"表"(tables)，每个表由若干"链"(chains)组成，而每条链中可以有一条或数条规则(rule)组 成。并且系统缺省的表是"filter"。但是在使用NAT的时候，我们所使用的表不再是"filter"，而是"nat"表，所以我们必须使用"-t nat"选项来显式地指明这一点。因为系统缺省的表是"filter"，所以在使用filter功能时，我们没有必要显式的指明"-t filter"。

 

　　同filter表一样，nat表也有三条缺省的"链"(chains)，这三条链也是规则的容器，它们分别是:

 

　　PREROUTING:可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的ip地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT;

 

　　POSTROUTING:可以在这里定义进行源NAT的规则，系统在决定了数据包的路由以后在执行该链中的规则。

 

　　OUTPUT:定义对本地产生的数据包的目的NAT规则。

 

三、操作语法

 

　　如前所述，在使用iptables的NAT功能时，我们必须在每一条规则中使用"-t nat"显示的指明使用nat表。然后使用以下的选项:

 

　　1. 对规则的操作

 

　　加入(append) 一个新规则到一个链 (-A)的最后。

 

　　在链内某个位置插入(insert) 一个新规则(-I)，通常是插在最前面。

 

　　在链内某个位置替换(replace) 一条规则 (-R)。

 

　　在链内某个位置删除(delete) 一条规则 (-D)。

 

　　删除(delete) 链内第一条规则 (-D)。

 

　　2. 指定源地址和目的地址

 

　　通过--source/--src/-s来指定源地址(这里的/表示或者的意思，下同)，通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址:

 

　　a. 使用完整的域名，如“www.linuxaid.com.cn”;

 

　　b. 使用ip地址，如“192.168.1.1”;

 

　　c. 用x.x.x.x/x.x.x.x指定一个网络地址，如“192.168.1.0/255.255.255.0”;

 

　　d. 用x.x.x.x/x指定一个网络地址，如“192.168.1.0/24”这里的24表明了子网掩码的有效位数，这是 UNIX环境中通常使用的表示方法。

 

　　缺省的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。

 

　　3. 指定网络接口

 

　　可以使用--in-interface/-i或--out-interface /-o来指定网络接口。从NAT的原理可以看出，对于PREROUTING链，我们只能用-i指定进来的网络接口;而对于POSTROUTING和 OUTPUT我们只能用-o指定出去的网络接口。

 

　　4. 指定协议及端口

 

　　可以通过--protocol/-p选项来指定协议，如果是udp和tcp协议，还可--source-port/--sport和 --destination-port/--dport来指明端口。

 

　　四、准备工作

 

　　1. 编译内核，编译时选中以下选项，具体可参看“用iptales实现包过虑型防火墙”一文:

 

　　 Full NAT

 

　　 MASQUERADE target support

 

　　 REDIRECT target support

 

　　2. 要使用NAT表时，必须首先载入相关模块:

 

　　modprobe ip_tables

 

　　modprobe ip_nat_ftp

 

　　iptable_nat 模块会在运行时自动载入。

 

五、使用实例

 

　　1. 源NAT(SNAT)

 

　　比如，更改所有来自192.168.1.0/24的数据包的源ip地址为1.2.3.4:

 

　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4

 

　　这里需要注意的是，系统在路由及过虑等处理直到数据包要被送出时才进行SNAT。

 

　　有一种SNAT的特殊情况是ip欺骗，也就是所谓的Masquerading，通常建议在使用拨号上网的时候使用，或者说在合法ip地址不固定的情况下使用。比如

 

　　# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

　　可以看出，这时候我们没有必要显式的指定源ip地址等信息。

 

　　2. 目的SNAT(DNAT)

 

　　比如，更改所有来自192.168.1.0/24的数据包的目的ip地址为1.2.3.4:

 

　　iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4

 

　　这里需要注意的是，系统是先进行DNAT，然后才进行路由及过虑等操作。

 

　　有一种DNAT的特殊情况是重定向，也就是所谓的Redirection，这时 候就相当于将符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。通常是在与squid配置形成透明代理时使用，假设squid的 监听端口是3128，我 们可以通过以下语句来将来自192.168.1.0/24，目的端口为80的数据包重定向到squid监听

 

　　端口:

 

　　iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80

 

　　-j REDIRECT --to-port 3128

 

　　六、综合例子

 

　　1. 使用拨号带动局域网上网

 

　　小型企业、网吧等多使用拨号网络上网，通常可能使用代理，但是考虑到成本、对协议的支持等因素，建议使用ip欺骗方式带动区域网上网。

 

　　成功升级内核后安装iptables，然后执行以下脚本:

 

　　#载入相关模块

 

　　modprobe ip_tables

 

　　modprobe ip_nat_ftp

 

　　#进行ip伪装

 

　　iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

　　2. ip映射

 

　　假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分 配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的WWW服务器对外发布信息。我们可以再防火墙的外部网卡上绑定多个合法IP地址，然后通过 ip映射使发给其中某一 个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。

 

　　我们假设以下情景:

 

　　该ISP分配给A单位www服务器的ip为:

 

　　伪ip:192.168.1.100

 

　　真实ip:202.110.123.100

 

　　该ISP分配给B单位www服务器的ip为:

 

　　伪ip:192.168.1.200

 

　　真实ip:202.110.123.200

 

　　linux防火墙的ip地址分别为:

 

　　内网接口eth1:192.168.1.1

 

　　外网接口eth0:202.110.123.1

 

　　然后我们将分配给A、B单位的真实ip绑定到防火墙的外网接口，以root权限执行以下命令:

 

　　ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0

 

　　ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0

 

　　成功升级内核后安装iptables，然后执行以下脚本:

 

　　#载入相关模块

 

　　modprobe ip_tables

 

　　modprobe ip_nat_ftp

 

　　首先，对防火墙接收到的目的ip为202.110.123.100和202.110.123.200的所有数据包进行目的NAT(DNAT):

 

　　iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100

 

　　iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200

 

　　其次，对防火墙接收到的源ip地址为192.168.1.100和192.168.1.200的数据包进行源NAT(SNAT):

 

　　iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100

 

　　iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200

 

　　这样，所有目的ip为202.110.123.100和 202.110.123.200的数据包都将分别被转发给192.168.1.100和192.168.1.200;而所有来自 192.168.1.100和192.168.1.200的数据包都将分 别被伪装成由202.110.123.100和202.110.123.200，从而也就实现了ip映射。

 

 

总结：

  当IP到达网卡的时候，需要进行一系列的动作，iptables中某个表中的某个链被执行时机，也就是在那个动作之后执行，是由表和链的作用决定的。

 比如： NAT表中的　　PREROUTING,POSTROUTING,OUTPUT 链 是否会被执行，什么时候执行都是预先定义好的。