5、iptables之nat
iptables:
显式扩展、网络防火墙
显式扩展:multiport, iprange, string, time, connlimit, limit, state
state:无关是哪种协议
/proc/net/nf_conntrack
/proc/sys/net/nf_conntrack_max
NEW, ESTABLISHED, RELATED, INVALID
RELATED:一个新的链接请求发起时本来是NEW,但是对ftp这样的应用来讲,数据链接是与一个已存在的命令链接或控制链接是相互关联的,因此在这种场景中,数据链接新发起的链接状态可以识别 为NEW,实际上更多在nf_conntrack_ftp打开以后被识别成RELATED请求,不过RELATED这个链接请求建立完成后,后续的传输过程中都是ESTABLISHED。
iptables:
nat:Network Address Translation,安全性(隐藏本地网络的主机),网络层+传输层
proxy:代理,应用层,是一种特定应用的代理
nat:(只对用于请求报文来说)
SNAT:只修改请求报文的源地址;
DNAT:只修改请求报文的目标地址;
nat表:
PREROUTING:DNAT
OUTPUT
POSTROUTING:SNAT
源地址转换:(任何一个目标地址转换都会有一个源地址转换,只不过源地址转换可能是NAT Server查找nat会话表完成的)
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP(要求外部IP固定)
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE(不要求外部地址固定,地址伪装)
目标地址转换:(主要作用:把内网的主机映射进公网中,让公网的客户端来访问)
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
NAT实现方式
SNT示例
node1是Gateway,内网网卡IP:172.16.100.10 外网网卡IP:192.168.184.141
node2是内网主机,做Clent IP:172.16.100.9
node3是外网主机,做Server IP:192.168.184.143
# vim /etc/sysctl.d/99-sysctl.conf //开启主机网络转发功能
net.ipv4.ip_forward = 1
# sysctl -p //重读内核
net.ipv4.ip_forward = 1
# cat /proc/sys/net/ipv4/ip_forward //进行验证
1
三台Linux主机的网络配置环境,跟随笔4的配置环境一样,但是需要把服务器即node3上添加的路由(指向Gateway外网网卡)删除
# route del -net 172.16.100.0 netmask 255.255.255.0
期望内网主机访问外网主机时,是基于源地址转换的方式进行
# yum install httpd -y //在node3上安装并启动web服务
# curl http://192.168.184.143 //此时用内网主机即客户端是无法访问外网主机的web服务的,因为内网主机可以通过Gateway把数据转发出去, 但是外网主机143的响应报文无法响应内网主机。
# tcpdump -i eth0 host 172.16.100.9 //在外网服务器上做抓包分析
如果想让外网服务器回应给内网主机的请求,可在外网主机上加一条路由,
# route add -net 172.16.100.0/24 gw 192.168.184.141 //如果目标网路是172.16.100.0网络,那么就把网关设置为192.168.184.141这个IP
这是再用上述的请求和抓包分析就可以看出是成功的
下面把服务器143上的指向192.168.184.141的路由规则删除
# route del -net 172.16.100.0/24
下面在NAT Server上添加一条Iptables规则,将所有来自于172.16.100.0网络即内网中的主机的请求,统统把请求的源地址改为192.168.184.141即网关的外网地址。
此时在NAT Server中NAT表上并没有任何规则
所有源地址转换只能在POSTROUTING上定义
# iptables -t nat -A POSTROUTING -s 172.16.100.0/24 ! -d 172.16.100.0/24 -j SNAT --to-source 192.168.184.141
//指定时nat表的POSTROUTING链上,源地址时172.16.100.0网络范围内,目标地址是非172.16.100.0网络范围内的IP地址都可以,
//然后做源地址转换SNAT,把源地址转换为192.168.184.141
# tail /var/log/httpd/access_log //查看服务器的访问日志,可以看到都是192.168.184.141访问的
现在把三台主机反转一下即把外网主机当作客户端,把内网主机当作Server端
# iptables -t nat -F //清空规则
#yum install httpd -y //在内网主机上安装web服务,并启动
NAT Server向外宣称192.168.184.141(服务器外网网卡)本主机有web服务,但其实没有web服务,只是内网主机有web服务,所以会做目标地址转换
# iptables -t nat -A PREROUTING -d 192.168.184.141 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.9
//目标地址是141主机上的80端口,但是141主机上并没有80端口,所以做目标地址转换,把目标地址转换到提供web服务的内网主机172.16.100.9
# curl http://192.168.184.141 //使用外网请求NAT Server的web服务,会被转发到内网中去
<h1>Test Page on RS1 172.16.100.9</h1>
下面把NAT Server的ssh服务也转发到内网去
# iptables -t nat -A PREROUTING -d 192.168.184.141 -p tcp --dport 22 -j DNAT --to-destination 172.16.100.9
下面是端口映射的示例
把内网主机的web服务改为监听在8080端口上
node2 ~]# vim /etc/httpd/conf/httpd.conf //内网主机上修改
Listen 8080 //改为8080
# systemctl restart httpd //可以看到内网主机已经监听了8080
此时如果再用外网主机请求141的web服务,就无法请求了
需要把NAT Server中的iptables规则进行修改
SNAT话题:
有时候在互联网上访问时还会遇到互联网地址有一个外网地址,但是需要ADSL拨号上网, SNAT可以代替内网主机访问互联网,即通过SNAT Server的外网网卡上网的,但是如果使用ADSL拨号上网的话,外网网卡的IP的是一直变化的,这个问题如何解决?
那么就使用一种NAT技术叫做"地址伪装"( Masquerading),即自动找一个合适的外网地址,当源地址(即外网网卡IP)转换时自动把这个外网地址当作的源地址。
下面node1仍然是NAT Server,即代理内网主机与外网联系
node2仍然作为内网主机访问外网
node3仍然作为web服务器供node2访问
# iptables -t nat -L -n -v //清空node1之前定义的iptables规则
# iptables -t nat -A POSTROUTING -s 172.16.100.0/24 ! -d 172.16.100.0/24 -j MASQUERADE //在node1上添加地址伪装,
