2. 程式人生 > >Linux 之 使用iptables作為防火墻

Linux 之 使用iptables作為防火墻

阿新 發佈:2018-08-07
linux服務 轉發 nat表 oss sta round 興趣 sysctl margin

技術分享圖片 技術分享圖片

上面左邊是我的個人微信,如需進一步溝通,請加微信。 右邊是我的公眾號“Openstack私有雲”,如有興趣,請關註。


近期朋友一個防火墻故障,在緊急情況下,將外網專線插到一臺linux服務器(紅帽rhel5.3),使用linux的iptables完成了原來防火墻的端口轉換NAT功能以及內網服務器上網的功能。下面記錄一下過程。

在操作之前,復習了一下iptables的原理,我參考了下面這個網址,介紹的非常詳細:

https://www.cnblogs.com/clsn/p/8308678.html

另外,參考了下面這個網址,和我的應用環境非常相似,都是單獨使用一臺linux服務器作為防火墻使用,提供給內網服務器nat地址端口轉換以及上外網:

http://yjph83.iteye.com/blog/2105074


iptables主要有3個表filter、nat、mangle,5個鏈INPUT、OUTPUT、FORWORD、PREROUTING、POSTROUTING,可以實現非常復雜的各類防火墻功能,比如本機服務器的消息過濾、轉發,nat端口映射,內外網消息轉發等等。在我的應用當中,主要用到nat端口映射和內網外消息轉發。

其他不多說,上重點,下面這張圖,是簡化了的iptables包處理流程圖,消息從左到右。

技術分享圖片

1、使用一對一nat端口映射功能,消息流是圖的下面直線那條線路,也就是說,需要配置NAT表的PREROUTING鏈,FILTER表的FORWORD鏈,以及NAT表的POSTROUTING鏈;

2、實現內網共享上網功能,其實使用的也是nat地址轉換功能,需要在NAT表的POSTROUTING鏈上將內網的源地址轉換為外網地址,同樣的,還要設置FILTER表的FORWORD鏈,使內網的消息能夠雙向通過。對iptables設置完成之後,在內網需要共享上網的服務器上,需要將網關直接設置為iptables所在的服務器的內網IP地址。


操作記錄:


簡單說明一下網絡結構,linux防火墻服務器的eth0連內網,eth3連外網,eth0地址10.1.1.8 ,eth3外網地址121.1.2.3 。其他內網服務器連接內網,網段是10.1.1.0/24,網關設置為10.1.1.8 。


一、 一對一NAT端口映射設置

1、首先將linux核心參數net.ipv4.ip_forward=1 打開

    #vi /etc/sysctl.conf
    ~~
    net.ipv4.ip_forward = 1
    ~~
    #sysctl -p

2、配置NAT表的PREROUTING鏈

iptables -t nat -A PREROUTING -d 121.1.2.3 -p tcp --dport 9998 -j DNAT --to 10.1.1.66:3389

3、配置NAT表的POSTROUTING鏈

iptables -t nat -A POSTROUTING -d 10.1.1.66 -p tcp --dport 3389 -j SNAT --to 10.1.1.8

4、配置FILTER表的FORWORD鏈

iptables -A FORWARD -o eth0 -d 10.1.1.66 -p tcp --dport 3389 -j ACCEPT

5、配置FILTER表的FORWORD鏈,使鏈路處於ESTABLISHED,RELATED狀態消息回來的時候能夠原路返回:

iptables -A FORWARD -i eth0 -s 10.1.1.66 -p tcp --sport 3389 -m state --state ESTABLISHED,RELATED -j ACCEPT


上面的設置是以10.1.1.66內網端口3389映射到外網121.1.2.3的9998端口為例。其他的一對一端口映射一樣的設置方法。


二、實現內網共享上網功能

1、在NAT表的POSTROUTING鏈上將內網的源地址轉換為外網地址:

iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth3 -j SNAT --to-source 121.1.2.3

2、設置FILTER表的FORWORD鏈,使內網的消息能夠雙向通過:

iptables -A FORWARD -i eth0 -s 10.1.1.0/24 -j ACCEPT

iptables -A FORWARD -i eth0 -d 10.1.1.0/24 -j ACCEPT

3、在內網服務器上將網關設置為10.1.1.8:

route add default gw 10.1.1.8

4、在內網服務器上設置DNS地址:

#vi /etc/resolv.conf

nameserver xxx.xx.xx.x //根據實際情況設置

5、設置DNS端口udp 53端口能夠通過,參考上面的一對一NAT端口映射設置進行設置”方法進行設置


特別說明:

在我的環境當中,iptables表有一個鏈 RH-Firewall-1-INPUT ,簡化了filter表的設置,對於需要通過filter的端口,需要在這個RH-Firewall-1-INPUT鏈中添加規則。比如:

iptables -I RH-Firewall-1-INPUT 12 -p tcp --dport 3389 -m state --state NEW -j ACCEPT





Linux 之 使用iptables作為防火墻

相關推薦

Linux 使用iptables作為防火

linux服務 轉發 nat表 oss sta round 興趣 sysctl margin 上面左邊是我的個人微信,如需進一步溝通,請加微信。 右邊是我的公眾號“Openstack私有雲”,如有興趣,請關註。 近期朋友一個防火墻故障,在緊急情況下,將外網專線插

Linuxiptables(四、網絡防火及NAT)

ipad entos centos 註意 put oca -s 網絡訪問 network 網絡防火墻 iptables/netfilter網絡防火墻: (1) 充當網關 (2) 使用filter表的FORWARD鏈 註意的問題: (1) 請求-響應報文均會經由

iptables詳解(11):iptables網絡防火

允許 什麽 模塊 進行 通訊 usr accep 屬於 兩個 我們一起來回顧一下之前的知識,在第一篇介紹iptables的文章中,我們就描述過防火墻的概念,我們說過,防火墻從邏輯上講,可以分為主機防火墻與網絡防火墻。 主機防火墻:針對於單個主機進行防護。 網絡防火墻:

Linux的網絡防火iptables實戰

src bsp 1.4 防火 images static 應用 img acer 前言: 本文主要著重講解Linux的基於網絡層的防火墻的安全架構,實現流程,以及常見的iptables一些實際應用。 Linux的網絡防火墻iptables實戰

Linux下開啟關閉防火

配置 sta 工具 不知道 status chkconfig -1 tar sco 一.Linux下開啟/關閉防火墻命令 1) 永久性生效,重啟後不會復原 開啟: chkconfig iptables on 關閉: chkconfig iptables off 2) 即

iptables企業級防火設置

des and ets 服務端 complete com comm rate 基本 L096 L0971、首次命令行新建iptables步驟iptables -F #清除規則iptables -X #刪除自定義鏈iptables -Z #清空計數iptables -A I

linux網絡相關 |防火 |netfilter5表5鏈

mov link 應用 ifup 只需要 圖形 print scrip 動作 10.11 linux網絡相關 ifconfig 如果沒有ifconfig,需要安裝包 [root@centos-01 ~]# yum install net-tools 如果需要顯示所有

iptables -- firewalld防火

安全firewalld防火墻public:僅允許訪問本機的sshd等少數幾個服務trusted:允許任何訪問block:阻塞任何來訪請求drop:丟棄任何來訪的數據包查看安全域 firewall-cmd --get-default-zone修改安全域 firewall-cmd --set-default-

Linux禁止開機啟動防火firewall.service

系統/運維 Linux 每次重啟測試環境會發現外網都無法訪問80端口,用systemctl status firewalld.service檢查防火墻,是開啟的狀態要使firewall不開機啟動,使用命令systemctl disable firewalld.service重啟虛機後,再次檢查fire

iptables防火規則練習

iptables一、iptables的filter表之網絡防火墻規則練習: 1.給一臺Linux安裝三塊網卡,提供三個網絡接口; 2.內網中用戶主機所在的網段為172.16.0/16,所有服務器所在的網段為172.18.0.0/16,外部網絡為192.168

Linuxiptables

LINUX iptables 防火墻的主要類別有:1、netfilter2、tcp wrappers3、proxy Linux的數據包過濾軟件:iptables//規則的順序非常重要 三張表:filter、nat、mangle五條鏈:input、output、forward、prerouting、po

Linux系統更改/關閉防火

lap 關閉 rip 開機自啟 start lin html light ble 更改/關閉防火墻 查看當前防火墻狀態 /etc/init.d/iptables status ==>service iptables status 打開防火墻servi

Iptables-主機防火設置

本機 pan -type lsm 提供服務 crc32 sta 服務 in out 基於Iptables構建主機防火墻 Iptables優點: 數據包過濾機制,它會對數據包包頭數據進行分析。 1.1.1 加載相關薄塊到內核 [root@centos7 ~]#

iptables防火

rules icm 主機 all 來源 ppp 意義 wal -i 1.匹配條件 £流入、流出接口(-i、-o)£來源、目的地址(-s、-d)£協議類型(-p)£來源、目的端口(--sport、--dport) 按網絡接口匹配-i <匹配數據進入的網絡接口&g

Linuxiptables(六、rich規則)

允許 permanent -- 生效 基本 最大 ipv6 strong tables 其它規則 當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則 rich-rules 富規則,功能強,表達性語言 Direct configuration

linuxiptables應用詳解

iptables應用主要包括主機防火牆和網路防火牆 主機防火牆詳解(服務範圍當前主機):         iptables其規則主要作用在“匹配條件”上,具體為各種模組 icmp模組 --icmp-type     

linuxiptables 基礎詳解

一、簡介        iptables是Linux系統上的防火牆,是一個包過濾型的防火牆,能夠根據事先定義好的檢查規則對進出本機或者本地網路的報文進行匹配檢查,並對於能夠被規則匹配的報文作出相應的處理動作。iptables有五個內建規則鏈(名稱需大寫),

linuxiptables中PREROUTING與POSTROUTING關係

PREROUTING 和 POSTROUTING 的簡單關係 源地址傳送資料--> {PREROUTING-->路由規則-->POSTROUTING} -->目的地址接收到資料 當你使用:iptables -t nat -A PREROUTING -i eth1 -d 1

LinuxIptables防火牆相關概念和基本操作

iptables概念 一、 iptables的前身叫ipfirewall(核心1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在核心當中的,對資料包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進核心當中,這樣規則才能

Linux防火iptables參數

iptablesiptables命令參數1、清理參數[[email protected]~]# /etc/init.d/iptables start 啟動iptables[[email protected]~]# /etc/init.d/iptables status 查看iptables