《iptables详解经典》由会员分享,可在线阅读,更多相关《iptables详解经典(38页珍藏版)》请在金锄头文库上搜索。
1、 数据包经过防火墙的路径 禁止端口 强制访问某站点 发布内部网络服务器 智能DNS 端口映射 通过NAT上网 IP规则的保存与恢复 iptables指令语法 iptables实例 数据包经过防火墙的路径图1比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该图实际上包了三种情况:来自外部,以防火墙(本机)为目的地的包,在图1中自上至下走左边一条路径。由防火墙(本机)产生的包,在图1中从“本地进程”开始,自上至下走左边一条路径来自外部,目的地是其它主机的包,在图1中自上至下走右边一条路径。 图1如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.图2
2、禁止端口的实例 禁止ssh端口只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh#iptables -A INPUT -s 192.168.62.1 -p tcp -dport 22 -j ACCEPT#iptables -A INPUT -p tcp -dport 22 -j DROP 禁止代理端口#iptables -A INPUT -p tcp -dport 3128 -j REJECT 禁止icmp端口除192.168.62.1外,禁止其它人ping我的主机#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p
3、icmp -m icmp -icmp-type echo-request -j ACCEPT #iptables -A INPUT -i eth0 -p icmp -icmp-type echo-request j ?DROP或 #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp -icmp-type 8 -j ACCEPT #iptables -A INPUT -i eth0 -p icmp -m icmp -icmp-type 8 -j DROP注:可以用iptables -protocol icmp -help查看I
4、CMP类型还有没有其它办法实现? 禁止QQ端口#iptables -D FORWARD -p udp -dport 8000 -j REJECT强制访问指定的站点图3要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:1. 打开ip包转发功能echo 1 /proc/sys/net/ipv4/ip_forward2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tc
5、p -dport 80 -j DNAT -to-destination 202.96.134.130:80iptables -t nat -I PREROUTING -i eth0 -p udp -dport 80 -j DNAT -to-destination 202.96.134.130:803. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:iptables -t nat -I POSTROUTING -o eth1 -p tcp -dport 80 -s 192.168.52.0/24 -j SNAT -to-source 202.96.134.10:20000-30000i
6、ptables -t nat -I POSTROUTING -o eth1 -p udp -dport 80 -s 192.168.52.0/24 -j SNAT -to-source 202.96.134.10:20000-300004. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,都将指向IP为202.96.134.130的网站.发布内部网络服务器图4要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:1. echo 1 /proc/sys/net/ipv4/ip_forward2. 发布内部网web服务器iptable
7、s -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 -dport 80 -j DNAT -to-destination 192.168.52.15:80iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.15 -sport 80 -j SNAT -to-source 202.96.134.10:20000-300003. 发布内部网ftp服务器iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/2
8、4 -dport 21 -j DNAT -to-destination 192.168.52.14:21iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.14 -sport 21 -j SNAT -to-source 202.96.134.10:40000-500004. 注意:内部网的计算机网关要设置为防火墙的ip(192.168.52.1)5. 测试: 用一台IP地址为202.96.134.0段的计算机虚拟因特网访问,当在其浏览器中访问http:/202.96.134.10时,实际应看到的是192.168.52.15的的
9、web服务;当访问ftp:/202.96.134.10时,实际应看到的是192.168.52.14上的的ftp服务智能DNS图51. echo 1 /proc/sys/net/ipv4/ip_forward 2. 在NAT服务器上添加以下规则:在PREROUTING链中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tcp -dpor 53 -j DNAT -to-destination 202.96.134.130iptables -t nat -I PREROUTING -i eth0 -p udp -dpor 53 -j DNAT
10、-to-destination 202.96.134.130在POSTROUTING链中添加源地址转换规则:iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p tcp -dpor 53 -j SNAT -to-source 202.96.134.10:40000-50000iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p udp -dpor 53 -j SNAT -to-source 202.96.134.10:40000-500003. 测试在内部网任
11、一台计算机上,将DNS设置为任意的外网IP,就可以使用DNS测试工具如nslookup来解析DNS服务器202.96.134.130上的名称.端口映射见上节透明代理设置#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 -dport 80 -j REDIRECT -to-ports 3128通过NAT上网 典型NAT上网一般做为NAT的计算机同时也是局域网的网关,假定该机有两块网卡eth0、eth1,eth0连接外网,IP为202.96.134.134;eth1连接局域网,IP为192.168.62.101. 先在内
12、核里打开ip转发功能#echo 1 /proc/sys/net/ipv4/ip_forward2.?使局域网用户能访问internet所要做的nat#iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT -to?202.96.134.134如果上网的IP是动态IP,则使用以下规则:#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.62.0/24 -j MASQUERADE 如果是通过ADSL上网,且公网IP是动态IP,则使用以下规则:#iptables -t nat -A POSTROUT
13、ING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE3. 使internet用户可以访问局域网内web主机所要做的nat#iptables -t nat -A PREROUTING -p tcp -d 202.96.134.134 -dport 80 -j DNAT -to-destination 192.168.62.10注:局域网内的客户端需将默认网关、DNS设为防火墙的IP 在我们的网络机房实现NAT共享上网工作环境:上层代理192.168.60.6(4480),只授予教师机(192.168.62.111)使用该代理的权限目标:不使用squid代理上网
14、,而是使用NAT的方式上网方法:1) 确保停止教师机(192.168.62.111)的squid或其它代理服务2) 客户端网关、DNS均指向192.168.62.111,浏览器代理设置为192.168.60.6(4480)。测试在当前情况下能否上网3) 在教师机(192.168.62.111)上添加如下iptables规则:#iptables -t nat -A POSTROUTING -p tcp -d 192.168.60.6/32 -dport 4480 -j SNAT -to-source 192.168.62.111:10000-30000解释:对于目的地为192.168.60.6、
15、目的端口为4480的TCP包,在经过防火墙路由后,将其源地址转换为192.168.62.111,端口转换为10000-30000间的某个端口。4) 客户端测试能否上网IP规则的保存与恢复iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载使用命令iptables-save来保存规则。一般用iptables-save /etc/sysconfig/iptables生成保存规则的文件 /etc/sysconfig/iptables,也可以用service iptables save它能把规则自动保存在/etc/sysconfig/iptables中。当计算机启动时,rc.d下的脚本将用命令iptables-restore调用这个文件,从而就自动恢复了规则。iptables 指令语法iptables -t table command match -j target/jump-t table 指定规则表-t 参数用来,内
