iptables/netfilter网络防火墙实现及实战分析

简介:

前提知识

  • 任何主机若要与非同网络中的主机通信,则必须将报文发送到默认网关;

  • 对Linux而言,IP地址是属于主机(内核中)的,不属于网卡,只要属于当前主机的IP地址间,都可直接响应,不称为转发

  • 私有地址在路由器上是不允许被路由的


防火墙的类型与作用的链

  • 主机防火墙:一般使用INPUT,OUTPUT链来过滤进入和发出的报文

  • 网络防火墙:一般使用PREROUTING,FORWARD,POSTROUTING链来转发经过的报文


不同网络间主机通信的方式

路由

对于Linux主机,设定/proc/sys/net/ipv4/ip_forward的值为1,即开启了路由功能,可以作为模拟路由器使用

wKioL1M2qJDgtWVJAAGspjiVuW0909.jpg

注:但真实的路由器还应该存在生成路由表的机制,一般是基于路由协议(如RIP2,OSPF)动态学习的,在此不作讨论

NAT

工作于网络层和传输层,也可分为静态NAT和动态NAT

  • Basic NAT:静态NAT;NAT服务器上有一个外网地址池,内网连接时直接分配一个外网IP使用,很不灵活

  • NAPT:动态NAT,Network Address Port Translation,即网络端口地址转换,也可分为SNAT和DNAT

    • SNAT:源地址转换;适用于内网主机访问互联网,原理图如下:

      wKioL1M2qQjDPBwNAAS9qCPdMFQ935.jpg

    • DNAT:目标地址转换;适用于让互联网主机访问本地内网中的某主机上的服务,原理图如下:

      wKiom1M2qVPD1SQIAAVaGmF2b-Y863.jpg


iptables/netfilter基于SNAT和DNAT原理实现报文转发

  • -j SNAT --to-source SIP

    • 规则添加:在POSTROUTING链上

  • -j MASQUERADE

    • 用于外网IP是ADSL拨号上网时生成的动态IP,MASQUERADE模式能自行查找能访问互联网的外网IP,并完成SNAT

  • -j DNAT --to-destination DIP[:Port]

    • 支持端口映射

    • 规则添加:在PREROUTING链上

实例:

1
2
# 将外网对172.16.100.7:22022的访问转发至内网的192.168.20.12.22
iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp --dport 22022 -j DNAT --to-destination 192.168.20.12.22



iptables/netfilter实战解析

需求分析

wKiom1M26zqSprGfAAMmc447Atg647.jpg

架构设计

wKioL1M26y_ASnyuAALkUgZwIyc755.jpg

配置部署

DNS Server配置

网络配置

1
2
3
4
5
6
7
8
9
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE= "eth0"
BOOTPROTO= "static"
NM_CONTROLLED= "no"
ONBOOT= "yes"
TYPE= "Ethernet"
IPADDR=172.16.251.178
NETMASK=255.255.0.0
GATEWAY=172.16.251.236

DNS主配置文件:/etc/named.conf

1
2
3
4
5
6
7
8
# named.conf中需修改的部分
listen-on port 53 { 127.0.0.1; 172.16.251.178;};
allow-query     { any; };
recursion no;
#zone "." IN {
#   type hint;
#   file "named.ca";
#};

DNS辅助配置文件:/etc/named.rfc1912.zones

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
acl inter_net {
172.16.251.0 /24 ;
};
view inter_net {
match-clients { inter_net; };
         zone  "."  IN {
                 type  hint;
                 file  "named.ca" ;
         };
zone  "jason.com"  IN {
type  master;
file  "jason.com.inter_net" ;
};
};
view outer_net {
match-clients { any; };
zone  "jason.com"  IN {
type  master;
file  "jason.com.outer_net" ;
};
};

区域数据文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# vi /var/named/jason.com.inter_net
$TTL 1D
jason.com. IN SOA dns.jason.com. admin.jason.com (
2014032920 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ NS dns
dns A 172.16.251.178
www A 172.16.251.182
# vi /var/named/jason.com.outer_net
$TTL 1D
jason.com. IN SOA dns.jason.com. admin.jason.com (
2014032920 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ NS dns
dns A 172.16.251.178
www A 3.3.3.1

启动named服务

1
2
3
chown  root.named jason.com.inter_net
chown  root.named jason.com.outer_net
service named restart

Web Server配置

1
2
3
4
配置一个虚拟主机,监听端口8080
在DocumentRoot目录下创建一简单的测试文件 test .html,内容随意,如
“Hello Mageedu”
启动httpd服务即可

Firewall配置

网络配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE= "eth0"
BOOTPROTO= "static"
NM_CONTROLLED= "no"
ONBOOT= "yes"
TYPE= "Ethernet"
IPADDR=172.16.251.236
NETMASK=255.255.0.0
GATEWAY=172.16.0.1
# vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE= "eth1"
BOOTPROTO= "static"
NM_CONTROLLED= "no"
ONBOOT= "yes"
TYPE= "Ethernet"
IPADDR=3.3.3.1
NETMASK=255.255.255.0
DNS1=3.3.3.1

注:因为3.3.3.1和3.3.3.3都是模拟的外网IP地址,故对应的网卡应处于同一信道内,且不能和内网的通信信道一致,故在用虚拟机测试时,可将对应内网IP的网卡的网络方式改为桥接,而对应外网IP的网卡的网络方式改为自定义,如vmnet2

添加iptables规则

1
2
iptables -t nat -A PREROUTING -d 3.3.3.1 /32  -p udp --dport 53 -j DNAT --to-destination 172.16.251.178
iptables -t nat -A PREROUTING -d 3.3.3.1 /32  -p tcp --dport 8080 -j DNAT --to-destination 172.16.251.182

Inter Client配置

1
2
3
4
5
6
7
8
9
10
11
12
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE= "eth0"
BOOTPROTO= "static"
NM_CONTROLLED= "no"
ONBOOT= "yes"
TYPE= "Ethernet"
IPADDR=172.16.251.176
NETMASK=255.255.255.0
GATEWAY=172.16.251.236
DNS1=172.16.251.178
# vi /etc/resolv.conf
nameserver 172.16.251.178

Outer Client配置

1
2
3
4
5
6
7
8
9
10
11
12
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE= "eth0"
BOOTPROTO= "static"
NM_CONTROLLED= "no"
ONBOOT= "yes"
TYPE= "Ethernet"
IPADDR=3.3.3.3
NETMASK=255.255.255.0
GATEWAY=3.3.3.1
DNS1=3.3.3.1
# vi /etc/resolv.conf
nameserver 3.3.3.1

DNS解析测试

wKioL1M27yeguPY3AAEmn_6VUto674.jpg

HTTP访问测试

wKiom1M273CAf5rlAAQtUHrZog8122.jpg

大功告成,哦也!










本文转自 xxrenzhe11 51CTO博客,原文链接:http://blog.51cto.com/xxrenzhe/1386677,如需转载请自行联系原作者
目录
相关文章
|
3月前
|
机器学习/深度学习 算法 Python
BP神经网络算法讲解及实战应用(超详细 附源码)
BP神经网络算法讲解及实战应用(超详细 附源码)
69 0
|
3月前
|
机器学习/深度学习
CNN卷积神经网络手写数字集实现对抗样本与对抗攻击实战(附源码)
CNN卷积神经网络手写数字集实现对抗样本与对抗攻击实战(附源码)
20 0
|
2天前
|
机器学习/深度学习 Go Python
【轻量化网络】实战:更改SqueezeNet网络&MobileNet网络& ShuffleNet网络输出替换yolo的backbone部分
【轻量化网络】实战:更改SqueezeNet网络&MobileNet网络& ShuffleNet网络输出替换yolo的backbone部分
21 0
|
8天前
|
数据采集 开发框架 监控
Wt库网络爬虫技术与央行降息的完美结合:实战案例分析
Wt库网络爬虫技术与央行降息的完美结合:实战案例分析
|
12天前
|
云安全 安全 网络协议
网络安全产品之认识防火墙
防火墙是一种网络安全产品,它设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
34 0
|
28天前
|
缓存 安全 网络安全
【网络安全】Web缓存欺骗攻击原理及攻防实战
【网络安全】Web缓存欺骗攻击原理及攻防实战
26 0
【网络安全】Web缓存欺骗攻击原理及攻防实战
|
2月前
|
数据采集 监控 调度
C#网络爬虫之TianyaCrawler实战经验分享
C#网络爬虫之TianyaCrawler实战经验分享
|
2月前
|
Web App开发 监控 网络协议
笔记:WebRTC 网络技术理论与实战(二)
笔记:WebRTC 网络技术理论与实战(二)
81 0
笔记:WebRTC 网络技术理论与实战(二)
|
2月前
|
Web App开发 JavaScript 前端开发
笔记:WebRTC 网络技术理论与实战(一)
笔记:WebRTC 网络技术理论与实战(一)
108 0
|
2月前
|
安全 网络安全
网络安全攻防技术:防火墙的实践应用
网络安全攻防技术是当今社会中最重要的话题之一。为了保护我们的个人信息和企业数据,我们需要使用各种安全工具和技术来打击网络攻击。本文将介绍防火墙的实践应用,以帮助您更好地保护您的网络安全。