防火墙 NAT与Iptables
iptables和nat的配置与管理
iptables简介
netfilter是Linux核心中的一个通用架构,它提供了一 系列的“表”(tables),每个表由若干“链”( chains)组成,而每条链可以由一条或数条“规则”( rules)组成。实际上,netfilter是表的容器,表是链 的容器,而链又是规则的容器。 3个表: filter(默认表)、nat表、manger表 5条链: INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
பைடு நூலகம்
Iptables的基本语法实例
在filter表中INPUT链的第2条规则前插入一条新规则,规 则为不允许访问TCP协议的53端口的数据包通过 iptables –I INPUT 2 –p tcp –dport 53 –j DROP 在filter表中INPUT链的第一条规则前插入一条新规则,规 则为允许源IP地址属于172.16.0.0/16网段的数据包通过 iptables –I INPUT 1 –s 172.16.0.0/16 –j ACCEPT 删除filter表中INPUT链的第2条规则 iptables –D INPUT 2 清除filter表中INPUT链的所有规则。 iptables –F INPUT
iptables和nat的配置与管理
金京犬
Tip:学习目标
知识目标 了解防火墙的分类及工作原理、了解NAT 掌握iptables防火墙的配置 掌握利用iptables实现NAT 能力目标 能熟练完成利用iptables架设企业NAT服务器 情感目标
项目背景
假如某公司需要Internet接入,由ISP分配IP地址 202.112.113.112。采用iptables作为NAT服务器接入网络, 内部采用192.168.1.0/24地址,外部采用202.112.113.112 地址。为确保安全需要配置防火墙功能,要求内部仅能够访 问Web、DNS及Mail三台服务器;内部Web服务器 192.168.1.100通过端口映象方式对外提供服务。网络拓扑 结构如下图所示。
iptables防火墙FORWARD 和 NAT 规则的应用
允许整个 LAN 的转发(防火墙/ 网关在 eth0 上有一个内部 IP 地
址192.168.0.105)
查看是否设置成功
操作流程:
1. 利用命令查看制定链中的所有规则和网卡信息; 2. 利用命令设置防火墙允许整个 LAN 的转发; 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址; 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP
服务器服务器系统; 5. 利用iptables命令查看结果。
查看配置结果
实验结论:
通过对iptables防火墙基本配置的学习,可以有效利用配置端口的方法来 控制系统服务的应用,以确保服务器的可靠性和安全性。
nat规则的应用多数机构从它们的isp处得到数量有限的公网ip地址鉴于这种限额管理员必须积极寻求分享互联网服务的创建性方法而又不必把稀有的ip地址分配给lan上的每一台机器
iptables防火墙FORWARD 和 NAT 规则 的应用
背景描述:
多数机构从它们的ISP处得到数量有限的公网IP地址,鉴于这种限额,管理 员必须积极寻求分享互联网服务的创建性方法,而又不必把稀有的IP地址 分配给LAN上的每一台机器。针对此情况,iptables防火墙提供了选路发 送和转发政策,可以实现网络资源的有效利用。
服务器服务器系统; 5. 利用iptables命令查看结果。
把来自 LAN 节点的请求 都伪装成防火墙的外部设
备的 IP 地址
操作流程:
1. 利用命令查看制定链中的所有规则和网卡信息; 2. 利用命令设置防火墙允许整个 LAN 的转发; 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址; 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP
iptables防火墙配置语法
iptables是 Linux 下用于配置 IPv4 数据包过滤规则的工具,可以用于设置防火墙规则、NAT 规则等。
以下是iptables的基本配置语法和一些常见用法:1. 基本语法:iptables的基本语法为:2. 常用选项:▪-A:向规则链的末尾添加规则。
▪-I:在规则链的指定位置插入规则。
▪-D:从规则链中删除规则。
▪-L:列出规则链的所有规则。
▪-P:设置规则链的默认策略。
▪-F:清除规则链中的所有规则。
▪-N:创建新的用户自定义规则链。
3. 规则链:▪INPUT:处理输入数据包。
▪OUTPUT:处理输出数据包。
▪FORWARD:处理通过系统的数据包。
▪PREROUTING:在路由之前处理数据包。
▪POSTROUTING:在路由之后处理数据包。
4. 规则匹配条件:▪-s:源 IP 地址。
▪-d:目标 IP 地址。
▪-p:协议(如 tcp、udp、icmp)。
▪--sport:源端口。
▪--dport:目标端口。
5. 动作:▪-j ACCEPT:接受数据包。
▪-j DROP:丢弃数据包。
▪-j REJECT:拒绝数据包。
6. 例子:▪允许所有对本机的访问:▪允许本机对外的访问:▪允许已建立的连接通过:▪拒绝从指定 IP 地址访问本机:7. 保存规则:8. 永久生效:这些是基本的iptables配置语法和用法,实际配置中可能会涉及更复杂的规则和链,具体的规则设置要根据你的网络需求和安全策略来定制。
建议在修改防火墙规则前确保对其影响有充分的了解,并在远程环境中谨慎操作,以免失去远程连接。
系统防火墙论文
浅谈系统防火墙摘要:介绍防火墙分类及其防火墙对数据过滤的简单规则,并以iptables为例,介绍基于linux操作系统的一种防火墙设置。
关键词:防火墙包过滤 nat iptables1.引言随着internet的迅速发展,现代人进入了网络时代,它给人们的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题——网络安全。
网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受,并成为计算机网络不可缺少的重要组成部分。
2.防火墙的定义所谓防火墙(firewall)指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。
它在internet与intranet之间建立起一个安全网关(security gateway),对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行,从而保护内部网免受非法用户的侵入。
防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
目前有商用版本的防火墙,也有完全免费和公开源代码的防火墙。
3.防火墙的基本分类3.1、包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则,这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(nic),一块连到内部网络,一块连到公共的internet。
防火墙的任务,就是作为”通信警察”,指引包和截住那些有危害的包。
3.2、状态励态检测防火墙状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。
Linux1 防火墙 iptables基本语法
Linux1 防火墙iptables基本语法如果想要灵活的运用iptables来加固系统安全的话,就必须熟练的掌握iptables 的语法格式,其语法格式如下所示。
iptables [-t 表] -命令-匹配-j 动作/目标1.表选项iptables内置了filter、nat、和mangle3张表,-t参数用来设置对哪张表生效。
如,对mangle表设置规则的话,可以在-t参数后面加上mangle(-t参数可以省略,如果省略-t参数表示对filter表进行操作),其格式为:iptables -t mangle -命令-匹配-j 动作/目标。
●filterFilter表用来过滤数据包,在该表中根据包的内容对包做DROP(拒绝)或ACCEPT (允许)。
在该表中有INPUT、OUTPUT和FORWARD链。
其中INPUT链是用于处理入站数据包的规则,所有入站的数据包的规则都将被添加到INPUT链中;OUTPUT链是用于处理出站数据包的规则;FORW ARD链用于处理正在转发的数据包的规则。
●natNat表主要用于转发数据包,即NAT(网络地址转换)。
该表中包含PREROUTING 和POSTOUTING链。
主要进行一对一、一对多和多对多等地址转换工作。
根据转换特性可分为SNAT(源网络地址转换)和DNAT(目的网络地址转换)。
进行了源网络地址转换的数据包就不需要进行目的地址转换,反之亦然。
●mangleMangle表包含一些规则来标记用于高级路由的数据包,如果数据包及其包头内容进行了任何更改,就可以使用mangle表。
其可以改变不同的包及包头的内容,比如TTL、TOS、或MARK。
实际上,MARK并没有真正地改动数据包,其只是在内核空间中为包设置一个标记。
该表共有中有5个内建的链:PREROUTING、POSTOUTING、INPUT、OUTPUT和FORWARD。
2.命令选项命令选项是指定对提交的规则要做什么样的操作,如添加/删除规则或者查看规则列表等。
防火墙和NAT
返回
19.2 NAT的地址概念
19.2.1 内部本地地址 19.2.2 内部全局地址 19.2.3 外部本地地址 19.2.4 外部全局地址 返回 结束
19.2.1 内部本地地址
内部本地地址(Inside Local IP Address)是指在内部网上分配到一 个主机的IP地址。这个地址一般不是由网络信息中心NIC或服务提 供商所分配的合法IP地址,而是私有地址。
返回
19.4 NAT配置实例
19.4.1 实例模型 19.4.2 配置NAT服务器 19.4.3 配置NAT客户端
返回
结束
19.4.1 实例模型
在Linux和Windows环境下配置NAT的实例模型如下。
返回
NAT转换
19.4.2 配置SNAT服务器
Source NAT在数据包送出之前改变数据包的源地址,参数如下: -j SNAT 定义SNAT --to-source 指定转换后的源地址[:port],可以简写成--to [:port],端口,是一个可选项,仅在指明TCP或UDP协议时使用 -o 出口接口(outgoing interface) 举例: 把数据包源地址转换为 1.2.3.4. iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
如果单纯使用NAT技术,还会遇到以下方面的安全问题: NAT只对地址进行转换而不进行其他操作,因此,在建立了与外部 网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。 虽然NAT隐藏了端到端的IP地址,但并不隐藏主机信息,这一问题 是NAT技术明显的安全隐患。 Internet上的恶意攻击通常针对机器的“公用端口”,如HTTP的80 端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外 部网络开放的端口,但针对面向公用端口的攻击,NAT是无能为力 的。
iptables 配置nat masquerade规则
iptables 配置nat masquerade规则iptables是Linux操作系统中一个重要的防火墙软件,它可以用来配置和管理网络数据包的转发和过滤规则。
其中一项常见的配置是nat masquerade规则,用于实现网络地址转换(Network Address Translation,NAT),将内部局域网的私有IP地址转换为公共IP地址,实现内网与外网的通信。
本文将逐步解释iptables配置nat masquerade 规则的步骤和原理。
第一步:了解nat masquerade的原理在深入了解iptables配置nat masquerade规则之前,我们首先需要了解nat masquerade的原理。
当内部局域网上的设备通过路由器连接到互联网时,由于内网使用的是私有IP地址,而互联网上使用的是公共IP地址,所以需要进行地址转换。
nat masquerade将内部局域网的私有IP 地址转换为路由器的公共IP地址,使得内网设备可以正常访问互联网。
第二步:确认系统中是否已安装iptables在开始配置nat masquerade规则之前,我们需要确认系统中是否已经安装了iptables。
可以通过在终端执行以下命令来检查:shelliptables -V如果系统已安装iptables,将显示出iptables的版本号和其他信息。
如果系统未安装iptables,可以通过以下命令来安装:shellsudo apt-get install iptables请根据使用的Linux发行版选择相应的命令。
第三步:创建一个新的iptables链接下来,我们需要创建一个新的iptables链来存储nat masquerade规则。
可以使用以下命令创建一个名为"MASQUERADE"的新链:shellsudo iptables -t nat -N MASQUERADE这将在iptables的nat表中创建一个新的自定义链。
iptables 删除nat指定规则
iptables 删除nat指定规则iptables是一个用于Linux操作系统上配置防火墙规则的工具。
通过使用iptables,可以设置规则来过滤、转发和修改网络数据包。
其中,nat表是iptables的一个重要表,用于进行网络地址转换。
在某些情况下,我们可能需要删除nat表中的某个指定规则。
删除规则可以帮助我们重新调整防火墙的配置,以满足特定的需求。
接下来,我们将介绍如何使用iptables删除nat表中的指定规则。
我们需要了解nat表中规则的结构。
每个nat规则由一系列匹配条件和一个动作组成。
匹配条件用于确定是否应该应用该规则,而动作则指定了要对匹配的数据包执行的操作。
在删除规则之前,我们需要知道要删除的规则的匹配条件和动作。
要删除nat表中的指定规则,我们可以使用以下命令:```iptables -t nat -D <chain> <rule-specification>```其中,`-t nat`参数用于指定要操作的表为nat表,`-D`参数表示删除规则。
`<chain>`是要删除规则所在的链的名称,例如PREROUTING、POSTROUTING等。
`<rule-specification>`是要删除的规则的具体内容。
为了更好地理解如何删除nat表中的指定规则,我们来看一个示例。
假设我们的防火墙规则中有一个nat规则,用于将外部访问的TCP 数据包转发到内部服务器的指定端口。
该规则的匹配条件为外部访问的源IP地址和目标端口,动作为进行端口转发。
现在,我们希望删除这个规则。
我们需要确定该规则所在的链的名称。
可以使用以下命令来列出nat表中的所有链:```iptables -t nat -L```在输出中找到包含该规则的链的名称。
假设该规则在PREROUTING链中。
然后,我们需要确定要删除的规则的具体内容。
可以使用以下命令来列出PREROUTING链中的所有规则:```iptables -t nat -L PREROUTING```在输出中找到要删除的规则,并记下其内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
iptables结构示意图 结构示意图
表和链
表 filter:实现数据报过滤 : nat:网络地址转换 (NAT:Network Address Translator) : : Mangle: 数据报处理 链 INPUT: : 位于 filter 表,匹配目的 IP 是本机的数据包 FORWARD: 位于 filter 表,匹配穿过本机的数据包 : PREROUTING: 位于 nat 表,用于修改目的地址(DNAT) 用于修改目的地址( : ) POSTROUTING:位于 nat 表,用于修改源地址 (SNAT) : )
-P
<链名 <动作 链名> 动作> -P <链名> <动作> POLICY, POLICY,设置某个链的默认规则 例如: 例如: iptables -P INPUT DROP 设置 filter 表 INPUT 链的默认规则是 DROP 注意: 注意:
当数据包没有被规则列表里的任何规则匹配到时, 当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处 理。动作前面不能加 –j,这也是唯一一种匹配动作前面不加 –j 的情 j j 况。
80 的数据包 6000的数据包( 6000、 6000-8000 的数据包(含6000、 以下的数据包( 3000) 3000 以下的数据包(含 3000) 以上的数据包( 1000) 1000 以上的数据包(含 1000) 参数使用
匹配应用举例
1、端口匹配 --dport -p udp --dport 53 匹配网络中目的端口是 53 的 UDP 协议数据包 2、地址匹配 -s 10.1.0.0/24 -d 172.17.0.0/16 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包 3、端口和地址联合匹配 --dport -s 192.168.0.1 -d -p tcp --dport 80 192.168.0.1, 匹配来自 192.168.0.1,去往 的 80 端口的 TCP 协议数据包
按来源目的地址匹配
<匹配来源地址 匹配来源地址> -s <匹配来源地址> IP、NET、DOMAIN,也可空(任何地址) 可以是 IP、NET、DOMAIN,也可空(任何地址) 例如: 例如: -s 192.168.0.1 匹配来自 192.168.0.1 的数据包 -s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包 -s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包 <匹配目的地址 匹配目的地址> -d <匹配目的地址> IP、NET、DOMAIN, 可以是 IP、NET、DOMAIN,也可以空 例如: 例如: -d 202.106.0.20 匹配去往 202.106.0.20 的数据包 -d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包 -d 匹配去往域名 的数据包
匹配条件
流入、流出接口( 流入、流出接口(-i、-o) 来源、目的地址( 来源、目的地址(-s、-d) 协议类型 (- p ) 来源、目的端口(--sport --dport sport、 dport) 来源、目的端口(--sport、--dport)
按网络接口匹配
<匹配数据进入的网络接口 匹配数据进入的网络接口> -i <匹配数据进入的网络接口> 例如: 例如: -i eth0 匹配是否从网络接口 eth0 进来 -i ppp0 匹配是否从网络接口 ppp0 进来 -o 匹配数据流出的网络接口 例如: 例如: -o eth0 -o ppp0
-R
<链名 <规则号码 <具体规则内容 链名> 规则号码> 具体规则内容> -R <链名> <规则号码> <具体规则内容> REPLACE, REPLACE,替换一条规则 例如: 例如: iptables -R INPUT 3 -j ACCEPT 的规则内容替换为“- ACCEPT” 将原来编号为 3 的规则内容替换为 -j ACCEPT 注意: 注意: 已有规则数, 确保规则号码 ≤ 已有规则数,否则报错
NAT与Iptables 与
内容提要
Iptables NAT 利用Iptables指令架设NAT
Linux Kernel中的包过滤防火墙
Ipfw/ipfwadm
2.0.*中使用移植于BSD的ipfw 缺点:包过滤、NAT等代码混杂在整个网络相关代码中
Ipchains
2.2.*中使用
Netfilter/iptables
按协议类型匹配
-p <匹配协议类型> <匹配协议类型> 匹配协议类型 TCP、UDP、 可以是 TCP、UDP、ICMP 等,也可为空 例如: 例如: -p tcp -p udp --icmp icmp-p icmp --icmp-type 类型 ping: type 8
按来源目的端口匹配
--sport <匹配源端口 匹配源端口> --sport <匹配源端口> 可以是个别端口, 可以是个别端口,可以是端口范围 例如: 例如: --sport --sport 1000 匹配源端口是 --sport --sport 1000:3000 匹配源端口是 ) --sport --sport :3000 匹配源端口是 --sport --sport 1000: 匹配源端口是 1000 的数据包 1000的数据包( 1000、 1000-3000 的数据包(含1000、3000 以下的数据包( 3000) 3000 以下的数据包(含 3000) 以上的数据包( 1000) 1000 以上的数据包(含 1000)
Iptables 语法
iptables [-t 要操作的表 要操作的表] <操作命令 操作命令> 操作命令 [要操作的链 要操作的链] 要操作的链 [规则号码 规则号码] 规则号码 [匹配条件 匹配条件] 匹配条件 [-j 匹配到以后的动作 匹配到以后的动作]
命令概述
操作命令( 操作命令(-A、-I、-D、-R、-P、-F) 查看命令(-[vnx]L) 查看命令( [vnx]L)
-F
[链名 链名] -F [链名] FLUSH, FLUSH,清空规则 例如: 例如: iptables -F 清空 filter
INPUT 表 INPUT 链中的所有规则
iptables -t nat -F PREROUTING 清空 nat 表 PREROUTING 链中的所有规则 注意: 注意: 仅仅是清空链中规则, 1、-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则 一定要小心!!! 2、-P 设置了 DROP 后,使用 -F 一定要小心!!! 如果不写链名, 3、如果不写链名,默认清空某表里所有链里的所有规则
2.4.* iptables 可以从 下载 模块化,支持状态跟踪
Netfilter/iptables
可以实现完整的基于连接跟踪的包过滤防火墙 Netfilter is the framework in Linux 2.4 kernels that allow for firewalling, NAT. (Netfilter是Linux kernel 中对数据包进行处理的框 架) Iptables is the userspace tools that works with the Netfilter framework
-I
链名> [规则号码 规则号码] -I <链名> [规则号码] INSERT, INSERT,插入一条规则 例如: 例如: iptables -I INPUT -j 在 filter 表的 INPUT
DROP 链里插入一条规则(插入成第 1 条) 链里插入一条规则(
iptables -I INPUT 3 -j DROP 链里插入一条规则( 在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条) 注意: 注意: 可不写, 1、-t filter 可不写,不写则自动默认是 filter 表 规则号码] 如果不写规则号码, 2、-I 链名 [规则号码],如果不写规则号码,则默认是 1 1), ),否则报错 3、确保规则号码 ≤ (已有规则数 + 1),否则报错
-[vxn]L
[链名 链名] -L [链名] LIST, LIST,列出规则 v:显示详细信息,包括每条规则的匹配包数量和匹配字节数 显示详细信息, 的基础上,禁止自动单位换算( x:在 v 的基础上,禁止自动单位换算(K、M) 地址和端口号码, n:只显示 IP 地址和端口号码,不显示域名和服务名称 例如: 例如: iptables -L 粗略列出 filter 表所有链及所有规则 iptables -t nat -vnL 表所有链的所有规则, 用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号 iptables -t nat -vxnL PREROUTING 链的所有规则以及详细数字, 用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字,不反解
注意: 注意: --sport --dport sport、 使用, 1、--sport、--dport 必须联合 -p 使用,必须指明协议类型是什么 条件写的越多,匹配越细致, 2、条件写的越多,匹配越细致,匹配范围越小
动作(处理方式)
ACCEPT DROP SNAT DNAT MASQUERADE
--dport <匹配目的端口 匹配目的端口> --dport <匹配目的端口> 可以是个别端口, 可以是个别端口,可以是端口范围 例如: 例如: --dport --dport 80 匹配目的端口是 --dport --dport 6000:8000 匹配目的端口是 8000) 8000) --dport --dport :3000 匹配目的端口是 --dport --dport 1000: 匹配目的端口是 注意:--sport --dport 注意:--sport 和 --dport 必须 链名> 具体规则内容> -D <链名> <规则号码 | 具体规则内容> DELETE, DELETE,删除一条规则 例如: 例如: 按号码匹配) iptables -D INPUT 3(按号码匹配) 链中的第三条规则(不管它的内容是什么) 删除 filter 表 INPUT 链中的第三条规则(不管它的内容是什么) DROP(按内容匹配) iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配) 链中内容为“DROP”的规则 删除 filter 表 INPUT 链中内容为 -s 192.168.0.1 -j DROP 的规则 不管其位置在哪里) (不管其位置在哪里) 注意: 注意: 若规则列表中有多条相同的规则时, 1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条 按号码匹配删除时, 已有规则数, 2、按号码匹配删除时,确保规则号码 ≤ 已有规则数,否则报错 按内容匹配删除时,确保规则存在, 3、按内容匹配删除时,确保规则存在,否则报错