linyux iptables SNAt NAT

gfdg

rpm -ql iptables 查看安装的模块

1 2 3 4

iptables -t filter -L –n iptables -L –n这两个命令的效果是一样的 iptables -t nat -L –n查nat表 iptables -t mangle -L –n查mangle表

==============================================

1 2 3 4 5 6 7 8 9 10 11

[iyunv@localhost ~]# iptables -help Usage: iptables -[AD] chain rule-specification [options]        iptables -I chain [rulenum] rule-specification [options]        iptables -R chain rulenum rule-specification [options]        iptables -D chain rulenum [options]        iptables -[LS] [chain [rulenum]] [options]        iptables -[FZ] [chain] [options]        iptables -[NX] chain        iptables -E old-chain-name new-chain-name        iptables -P chain target [options]        iptables -h (print this help information)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Commands: Either long or short options are allowed.   --append  -A chainAppend to chain   --delete  -D chainDelete matching rule from chain   --delete  -D chain rulenum Delete rule rulenum (1 = first) from chain   --insert  -I chain [rulenum] Insert in chain as rulenum (default 1=first)   --replace -R chain rulenum Replace rule rulenum (1 = first) in chain   --list    -L [chain [rulenum]] List the rules in a chain or all chains   --list-rules -S [chain [rulenum]] Print the rules in a chain or all chains   --flush   -F [chain]Delete all rules in  chain or all chains   --zero    -Z [chain [rulenum]] Zero counters in chain or all chains   --new     -N chainCreate a new user-defined chain   --delete-chain             -X [chain]Delete a user-defined chain   --policy  -P chain target Change policy on chain to target   --rename-chain             -E old-chain new-chain Change chain name, (moving any references)

-----------------------------------------------------------------------------------

1 2 3 4 5 6

iptables -L –n iptables -L -n -t nat iptables -L -n -t mangle [iyunv@localhost ~]# iptables -F [iyunv@localhost ~]# iptables -X [iyunv@localhost ~]# iptables –Z

以上三步只是临时清除，重启后原配置文件继续生效
[iyunv@localhost ~]# iptables -L –n
对tcp协议的22端口做DROP动作

1	[iyunv@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j DROP

SSH工具连接立即失效






恢复

1	[iyunv@localhost ~]# iptables -D INPUT -p tcp --dport 22 -j DROP

关闭所有，ping也ping不通

1	iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.1.4 -j DROP

恢复
iptables -F
关闭web服务

1	iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d  192.168.1.4 -p tcp --dport 80 目标端口

别人ping不到我们

1	iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.1.4 -p icmp --icmp-type 8 -j DROP

【实验】1，给自己留一条路，其他全部被封杀！

1 2 3 4

iptables -A INPUT -d 192.168.1.4 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 192.168.1.4 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT [iyunv@localhost ~]# iptables -P INPUT DROP [iyunv@localhost ~]# iptables -P OUTPUT DROP

自己ping自己起码得可以吧？

1 2	[iyunv@localhost ~]# iptables -I INPUT 1 -s 192.168.1.4 -d 192.168.1.4 -j ACCEPT [iyunv@localhost ~]# iptables -I OUTPUT 1 -s 192.168.1.4 -d 192.168.1.4 -j ACCEPT

放行web服务

1 2	iptables -A INPUT -d 192.168.1.4 -p tcp --dport 80 -m state  --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 192.168.1.4 -p tcp --sport 80 -m state  --state ESTABLISHED -j ACCEPT

合并同样的规则

1 2 3 4 5 6 7 8 9 10 11 12 13

[iyunv@localhost ~]# iptables -L -n Chain INPUT (policy DROP) target     prot opt source               destination          ACCEPT     all  --  192.168.1.4          192.168.1.4          ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         tcp dpt:22 state NEW,ESTABLISHED ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         tcp dpt:80 state NEW,ESTABLISHED Chain FORWARD (policy ACCEPT) target     prot opt source               destination          Chain OUTPUT (policy DROP) target     prot opt source               destination          ACCEPT     all  --  192.168.1.4          192.168.1.4          ACCEPT     tcp  --  192.168.1.4          0.0.0.0/0           tcp spt:22 state ESTABLISHED ACCEPT     tcp  --  192.168.1.4          0.0.0.0/0           tcp spt:80 state ESTABLISHED

扩展匹配

1 2	[iyunv@localhost ~]# iptables -I INPUT 2 -d 192.168.1.4 -p tcp -m state --state NEW,ESTABLISHED -m multiport --destination-ports 22,53,80 -j ACCEPT

一次性合并多条法则
先合并再删除，否则连自己都登录不进去！

1 2 3 4 5 6 7 8 9 10 11 12 13 14

[iyunv@localhost ~]# iptables -L -n Chain INPUT (policy DROP) target     prot opt source               destination          ACCEPT     all  --  192.168.1.4          192.168.1.4          ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         state NEW,ESTABLISHED multiport dports 22,53,80 ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         tcp dpt:22 state NEW,ESTABLISHED ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         tcp dpt:80 state NEW,ESTABLISHED Chain FORWARD (policy ACCEPT) target     prot opt source               destination          Chain OUTPUT (policy DROP) target     prot opt source               destination          ACCEPT     all  --  192.168.1.4          192.168.1.4          ACCEPT     tcp  --  192.168.1.4          0.0.0.0/0           tcp spt:22 state ESTABLISHED ACCEPT     tcp  --  192.168.1.4          0.0.0.0/0           tcp spt:80 state ESTABLISHED

绿色标记的法则将不再被匹配，不会再产生数据流量！
删除不会被匹配的法则 第三行

1	iptables -D INPUT 3

放谁进来就放谁出去 ！

1	[iyunv@localhost ~]# iptables -I OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

删除不会被匹配的法则 第二行

1	iptables -D OUTPUT 2

以上的设置，ping自己是ping不通的，因为自己先出去，添加下面的就OK

1	iptables -A OUTPUT -s 192.168.1.4 -d 192.168.1.4 -j ACCEPT

规则的优化，已建立的连接直接匹配第一个，高效匹配！流量不走下面的ESTABLISHED了！

1	iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT

限制  192.168.1.1-192.168.1.100才能访问我

1	[iyunv@localhost home]# iptables -A INPUT -m iprange --src-range 192.168.1.1-192.168.1.100 -p tcp --dport 23 -m state --state NEW -j ACCEPT

限制连接数目【限定22端口仅有2个新建连接】

1	[iyunv@localhost home]# iptables -I INPUT 2 -d 192.168.1.4 -p tcp --dport 22 -m state  --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT

会新加一个

1	ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         tcp dpt:22 state NEW #conn/32 <= 2

继续打开ssh界面的连接，超过3个依然OK，是因为下面的规则被匹配，删这行就OK了，
iptables -D INPUT 4实测有效！

1	ACCEPT     tcp  --  0.0.0.0/0            192.168.1.4         state NEW,ESTABLISHED multiport dports 22,53,80

【速率限定  限制别人访问我的服务器　频率一分钟2次 峰值为5个　】

1 2 3

iptables -A INPUT -d 192.168.1.4 -p tcp --dport 80 -m state --state NEW -m limit --limit 2/minute --limit-burst 5 -j ACCEPT iptables -L -n -v     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.4      tcp dpt:80 state NEW limit: avg 2/min burst 5

【本机服务器页面中含有“LCL”的页面，无法被访问】 实测有效！

1 2 3 4

iptables -I OUTPUT 1 -m string --algo kmp --string "LCL" -j REJECT web可被访问的规则 iptables -A INPUT -d 192.168.1.4 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -d 192.168.1.4 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

【本地主机当防火墙，处理本地服务】
vsftpd，端口是 21

1 2 3

yum -y install vsftpd service vsftpd restart cp /etc/passwd /var/ftp/pub/

先关闭iptables测试效果

1	service iptables stop

也可以清除所有规则

1 2 3

[iyunv@localhost ~]# iptables -F [iyunv@localhost ~]# iptables -Z [iyunv@localhost ~]# iptables –X

打开win7的ftp功能
在cmd窗口下面，ftp 192.168.1.4 （本机的IP地址）
用户名 ftp
ls 可以看到 pub目录

开始写规则
打开本地所有连接

1 2	[iyunv@localhost ~]# iptables -A  INPUT -i lo -j ACCEPT [iyunv@localhost ~]# iptables -A  OUTPUT -o lo -j ACCEPT

所有已建立的连接，都放行

1 2	[iyunv@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT [iyunv@localhost ~]# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

放行ssh的22端口服务，同个IP最多发起3个连接

1	iptables -A INPUT -d 192.168.1.4 -p tcp --dport 22 -m state --state NEW  -m connlimit ! --connlimit-above 3 -j ACCEPT

关闭所有进口，出口

1 2	[iyunv@localhost ~]# iptables -P INPUT DROP【P是默认规则ACCEPT】 [iyunv@localhost ~]# iptables -P OUTPUT DROP【P是默认规则ACCEPT】

放行FTP的21端口

1	iptables -A INPUT  -d 192.168.1.4 -p tcp --dport 21 -m state --state NEW -j ACCEPT

加载ip_nat_ftp模块  这个很重要，否则后面的RELATED状态不起作用

1 2 3 4 5

modprobe ip_nat_ftp root@localhost ~]# lsmod | grep "ftp" nf_nat_ftp              3507  0 nf_nat                 22759  1 nf_nat_ftp nf_conntrack_ftp       12913  1 nf_nat_ftp

把INPUIT和OUTPUT有跟踪关系的都加进来，修改表的第二行

1 2	iptables -R INPUT 2 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -R OUTPUT 2 -m state --state RELATED,ESTABLISHED -j ACCEPT

这样就可以正常访问ftp了

1 2 3

ipotables vim /etc/sysconfig/iptables 保存规则的文件 vim /etc/sysconfig/iptables-config 为iptables脚本提供配置的文件

保存iptables的规则

1 2 3 4

service iptables save iptables-save >/etc/sysconfig/iptables iptables-save >/etc/sysconfig/iptables.txt 保存在另外一个文件 iptables-restore< /etc/sysconfig/iptables.txt 读取保存的规则

脚本执行Iptables

开机自动执行的脚本放在这里面

1	cat /etc/rc.d/rc.local

网络防火墙
看看Ipv4路由转换，0无效，1有效

1	cat /proc/sys/net/ipv4/ip_forward

1 2	临时修改网卡 [iyunv@localhost rc.d]# ifconfig eth1 192.168.1.100/24

【我的网络参考】


3号机 ping 172.16.0.100 是ping不通的
3号机添加路由 route add default gw 192.168.3.3
此时可以ping通2号机的172.16.0.103
2号机

1 2 3

vim /etc/sysctl.conf # Controls IP packet forwarding net.ipv4.ip_forward = 0 【0改为1】

2号机 使配置生效 [iyunv@localhost ~]# sysctl –p
win7 添加路由 cmd ：route add 192.168.3.0 MASK 255.255.255.0 172.16.0.103
让192.168.3.0/24网段内的主机通过172.16.0.103这个主机做网关通信

【*】此删除操作会导致无法连接ssh   route DELETE 192.168.3.0
7 3号机 各种ping成功！

1 2 3 4 5 6 7 8

[iyunv@localhost ~]# ping 192.168.3.3 PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data. 64 bytes from 192.168.3.3: icmp_seq=1 ttl=64 time=0.252 ms 64 bytes from 192.168.3.3: icmp_seq=2 ttl=64 time=0.337 ms [iyunv@localhost ~]# ping 172.16.0.100 PING 172.16.0.100 (172.16.0.100) 56(84) bytes of data. 64 bytes from 172.16.0.100: icmp_seq=1 ttl=127 time=0.496 ms 64 bytes from 172.16.0.100: icmp_seq=2 ttl=127 time=0.522 ms

【现在实验可以ssh不可以通过防火墙ping】
当前准备，禁用win7上的虚拟网卡net1和net8
当前环境，两个网段可以任意互相ping ssh工具可以使用


防火墙主机添加规则，不让互相ping

1	[iyunv@localhost ~]# iptables -A FORWARD -p icmp --icmp-type 8 -j REJECT

这样就不能互相ping了，但是都可以去ping防火墙

【假如3号机是web服务器 不允许包含有“***”的字符访问请求】
安装httpd                yum -y install httpd
service httpd restart  win7浏览器可以打开欢迎界面192.168.3.1
vim /var/www/html/index.html随便写点东西

在防火墙主机上配置

1	iptables -A FORWARD -d 192.168.3.1 -p tcp --dport 22 -m state --state NEW -j ACCEPT

允许已连接的转发

1	iptables -I FORWARD 1 -m state --state ESTABLISHED -j ACCEPT

当前ssh已匹配到的链，但是NEW并没有匹配到数据，那么开始测试NEW

1	4   232 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

关闭3号机的ssh连接
在防火墙添加配置

1	iptables -P FORWARD DROP

重新连接到3号机的ssh  一切Ok，NEW匹配到了数据

1	2   128 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.3.1         tcp dpt:22 state NEW

此时ssh是可以访问的 但web已经访问不了


防火墙添加规则 允许ftp的21端口

1	iptables -A FORWARD -d 192.168.3.1 -p tcp --dport 21 -m state --state NEW -j ACCEPT

加载ip_nat_ftp模块  这个很重要，否则RELATED状态不起作用

1	modprobe ip_nat_ftp

添加规则，

1	iptables -R FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

【win7 cmd测试 ftp 192.168.3.1 用户名ftp 密码kong】 OK

1 2 3 4 5 6 7 8 9 10 11 12 13 14

C:\Users\Administrator>ftp 192.168.3.1 连接到 192.168.3.1。 220 (vsFTPd 2.2.2) 用户(192.168.3.1:(none)): ftp 331 Please specify the password. 密码: 230 Login successful. ftp> ls 200 PORT command successful. Consider using PASV. 150 Here comes the directory listing. fstab pub upload 226 Directory send OK.

ftp: 收到 20 字节，用时 0.00秒 20000.00千字节/秒。
ftp>

【可以让你ping  一秒只让你ping 3次】

1 2 3

iptables -A FORWARD -d 192.168.3.1 -p icmp --icmp-type 8 -m limit --limit 3/second -m state --state NEW -j ACCEPT iptables -A FORWARD -d 192.168.3.1 -p icmp --icmp-type 8 -m limit --limit 6/minute -m state --state NEW -j ACCEPT iptables -A FORWARD -d 192.168.3.1 -p icmp --icmp-type 8 -m limit --limit 6/minute --limit-burst 3  -m state --state NEW -j ACCEPT

【上面的RELATED状态对本设置有影响】




【笨鸟先飞】：
NEW        NEW说明这个包是我们看到的第一个 包。意思就是，这是conntrack模块看到的某个连接第一个包，它即将被匹配了。比如，我们看到一个SYN 包，是我们所留意的连接的第一个包，就要匹配它。第一个包也可能不是SYN包，但它仍会被认为是NEW状态。这样做有时会导致一些问题，但对某些情况是有非常大的帮助的。例如，在 我们想恢复某条从其他的防火墙丢失的连接时，或者某个连接已经超时，但实际上并未关闭时。

ESTABLISHED        ESTABLISHED已经注意到两个方向上 的数据传输，而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容 易理解的。只要发送并接到应答，连接就是ESTABLISHED的了。一个连接要从NEW变 为ESTABLISHED，只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防 火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED，只要它们是我 们所发出的信息的应答。

RELATED        RELATED是个比较麻烦的状态。当一 个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想 是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这 个新的连接就是RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有RELATED的。还有其他的例子，比如，通过IRC的DCC连接。有了这个状态，ICMP应 答、FTP传输、DCC等才能穿过防火墙正常工作。注意，大部分还有一些UDP协议都依赖这个机制。这些协议 是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。

INVALID        INVALID说明数据包不能被识别属于 哪个连接或没有任何状态。有几个原因可以产生这种情况，比如，内存溢出，收到不知属于哪个连接的ICMP 错误信息。一般地，我们DROP这个状态的任何东西。
----------------------------------------------------------------------------------
【SNAT】 源地址转换

还是用这个网络结构图，完成实验


有4个表，优先级 raw淰愀渀最氀攀滰愀琀曰椀氀琀攀爀
查看当前防火墙的转发状态

1 2	[iyunv@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 1

win7浏览器通过防火墙查看另一台ftp服务器
ftp://192.168.3.1/   测试 OK
win7浏览器通过防火墙查看另一台web服务器
192.168.3.1   测试 OK

在192.168.3.1主机查看被访问的日志，来访者就是原来的win7主机，不是防火墙

1 2	[iyunv@localhost ~]# tail /var/log/httpd/access_log 172.16.0.100 - - [20/May/2015:14:05:38 +0800] "GET /favicon.ico HTTP/1.1" 404 286 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.3.4000 Chrome/30.0.1599.101 Safari/537.36"

防火墙配置 把172.16.0.0/16转换成192.168.3.3

1	iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.3.3

再去win7刷新web页面 去web服务器看访问日志

1 2	[iyunv@localhost ~]# tail /var/log/httpd/access_log 192.168.3.3 - - [20/May/2015:14:23:29 +0800] "GET /favicon.ico HTTP/1.1" 404 286 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.3.4000 Chrome/30.0.1599.101 Safari/537.36"

删除web机器指向防火墙192.168.3.3的网关

1 2 3 4 5 6 7

[iyunv@localhost ~]# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0 0.0.0.0         192.168.3.3删     0.0.0.0         UG    0      0        0 eth0 0.0.0.0         192.168.3.2     0.0.0.0         UG    0      0        0 eth0 route del -net 0.0.0.0

重新连接ssh到web服务器
刷新win7的web页面

看web服务器访问日志

1 2 3

[iyunv@localhost ~]# tail /var/log/httpd/access_log 0 Chrome/30.0.1599.101 Safari/537.36" 192.168.3.3 - - [20/May/2015:14:35:06 +0800] "GET /favicon.ico HTTP/1.1" 404 286 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.3.4000 Chrome/30.0.1599.101 Safari/537.36"

防火墙添加过滤法则 拒绝所有协议的服务

1	[iyunv@localhost ~]# iptables -A FORWARD -m string --algo kmp --string "game" -j REJECT

web端测试

1 2 3

[iyunv@localhost ~]# cd /var/www/html/ [iyunv@localhost html]# vim index.html 添加game 测试

再刷新win7 浏览器 确实有效！

以上的设置可以作为代理服务器上网功能
1，        外网的IP要是固定的
2，        此时的防洪墙充当代理服务器
3，        1号机同IP段的主机都是客户机
-------------------------------------------------------------------------


【DNAT】地址转换

内网当服务器，外网通过防火墙访问内网的web服务器，3号机是web服务器，1号机外网







iptables -t nat -L –nv 看看
iptables -t nat -F POSTROUTING 清除规则
把访问172.16.0.103 tcp协议80端口连接指向192.168.3.1
iptables -t nat -A PREROUTING -d 172.16.0.103 -p tcp --dport 80  -j DNAT --to-destination 192.168.3.1