iptables实现网络防火墙及地址转换

iptables主机防火墙功能及常用命令

FSM:Finite State Machine 有限状态机

客户端：closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL)
服务器：closed -->listen -->syn_rcvd -->establised --> close_wait -->last_ack


-m state:追踪连接状态
   模板：内存中会维持一个空间
       NEW
       ESTABLISHED
       RELATED
       INVALID
在前端的服务器中尽量不要开启追踪连接


iptables子命令
  规则：-A,-I,-D,-R
  链：-N,-X,-F,-Z,-E,-P -S
      通：默认 DROP
      堵：默认ACCEPT
  显示：-L -S
      -L 
       -n -v -x --line-numbers


  规则定义：iptables -t table -A|-I|-R chain 匹配条件 -j target
      匹配条件
         通用匹配：-s -d -i -o -p
         扩展匹配
             隐含扩展
               -p tcp
                --sport --dport --tcp-flags
                --syn
               -p udp
                 --sport --dport
               -p icmp
                  --icmp-type
                    echo-request 8
                    echo-reply 0
              显示扩展：
                 -m state 
                    --state
                 -m multiport
                    --sprots, --dports,  --ports
                 -m iprange
                    --src-range, --dst-range
                 -m string
                    -algo {bm|kmp} --string --hex-string
                 -m connlimit
                   ! --connlimit-above
                 -m limit
                   --limit n(/second|/minute|/hour|/day), --limit-burst
                 -m time
                    --datestart --datestop
                    --timestart -- timestop
                    --weekdays
           -j
             ACCEPT,DROP,REJECT,LOG,REDIRECT,SNAT,DNST,MASQUERADE,MARK,RETURN,自定义链


四表：raw mangle nat filter 
五链：PREROUTING INPUT FOEWARD OUTPUT POSTOUTING


规则保存和恢复：iptables-save iptables-restore


主机防火墙：INPUT OUTPUT

网络防火墙：FORWARD

    路由：
    NAT：
/proc/sys/net/ipv4/ip_forward


地址属于内核，地址当前属于主机的都给予响应


路由：对Linux主机而言，设定/proc/sys/net/ipv4/ip_forward的值为1，即为开启路由
     路由表的生成
       静态：手动添加
       动态：基于路由协议学习，RIP2 OSPF
NAT：网络地址转换
     A:10
     B:172.16-172.31
     C:192.168.0-192.168.255


     NAT: 工作于传输层和网络层
        过载技术
        Basic NAT:静态NAT
        NAPT：动态NAT，网络地址端口转换
             源地址转换：SNAT 用于内网主机访问互联网
             目标地址转换：DNAT
             让互联网上主机访问本地内网中的某服务器上的服务（发布）


        iptables基于SNAT和DNAT这两个目标实现地址转换技术
        -j SNT --to-source SIP
          规则添加：POSTROUTING链
        -j MASQUERAADE  动态获取


        -j DNAT --to-destination DIP{:PORT}
        支持端口映射




        基于nat表
           PREROUTING
           POSTROTING
           OUTPUT

     Proxy(代理):工作在应用层

举例说明：

网络拓扑

简单网络访问路由转发功能

172.16.1.10能ping通192.168.8.40，但不能ping通192.168.8.39
192.168.8.39能Ping通172.16.1.254，但不能ping通172.16.1.10
原因：linux中网卡程序都加载于系统内核中，运行在上面的网卡程序会被系统认为是同一个设备

配置开启路由转发功能
# vim /etc/sysctl.conf 

net.ipv4.ip_forward = 1

让配置生效
# sysctl -p

也可以，采用如下命令临时生效

# sysctl -w net.ipv4.ip_forward=1

验证

# cat /proc/sys/net/ipv4/ip_forward 

windows客户端添加路由，也可以实现访问

route add 172.16.1.0 mask 255.255.255.0 172.16.1.254

将转发规则屏蔽，则无法访问
# iptables -P FORWARD DROP

对常见服务的放行实例

放行192.168.8.39中80口的访问
# iptables -A FORWARD -s 172.16.1.10 -d 192.168.8.39 -p tcp --dport 80 -j ACCEPT
# iptables -A FORWARD -d 172.16.1.10 -s 192.168.8.39 -p tcp --sport 80 -j ACCEPT


放行172.16.1.0/24网段对192.168.8.0网段22号端口的访问
# iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.8.0/24 -p tcp --dport 22 -j ACCEPT
# iptables -A FORWARD -s 192.168.8.0/24 -d 172.16.1.0/24 -p tcp --sport 22 -j ACCEPT


重新编写规则
# iptables -F FORWARD
# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# iptables -R FORWARD 2 -d 192.168.8.39 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT


nat规则举例


初始化：
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
//需要accept否则将无法通过路由转发任何数据包
# iptables -P FORWARD ACCEPT

模拟dnat功能之互联网访问局域网服务器

外网端：172.16.1.10
内网端：192.168.8.39


//将访问172.16.1.254 80端口的服务映射到8.89的80端口上
# iptables -t nat -F
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.39


在目标8.39的web日志中可以看到是172.16.1.10访问的，而不是192.168.8.40路由访问


禁止172.16.1.10的IP访问
# iptables -I FORWARD -s 172.16.1.10 -j REJECT


通过外网地址172.16.1.254的22022端口访问192.168.8.39的22号端口(相当于端口映射)
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 22022 -j DNAT --to-destination 192.168.8.39:22

模拟snat功能之局域网访问互联网应用

172.16.1.10 和 172.16.1.254的eth1都放置于 vmnet2虚拟交换环境中

充当路由功能的机器

外网接口：
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.8.15
BROADCAST=192.168.8.255
NETMASK=255.255.255.0
GATEWAY=192.168.8.254
NETWORK=192.168.8.0


DNS配置
/etc/resolve.conf
nameserver 192.168.8.251


内网接口：
# cd /etc/sysconfig/network-scripts/
# cp ifcfg-eth0 ifcfg-eth1


DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.16.1.254
BROADCAST=172.16.1.255
NETMASK=255.255.255.0
NETWORK=172.16.1.0

内网的机器：

172.16.1.10
DNS:192.168.8.251
GAWEWAY:172.16.1.254


配置192.168.8.251
# vim /etc/sysctl.conf
打开防火墙转发功能
net.ipv4.ip_forward = 1


sysctl -p 使配置生效


在防火墙上添加规则，对来自内网 172.16.1.0网段的机器进行源地址转换
# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 192.168.8.15

测试在内网机器中可以访问互联网