iptables实现网络防火墙(二)——SNAT与DNAT

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介:

前言

        在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。 
        在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的四表五链,以及数据包的流向,在实际应用中都是有着关键性的作用的。今天要介绍的SNAT和DNAT就是构建防火墙规则中几个个重要应用。其中DNAT在LVS集群应用中也有着很重要的作用,这一点我们以后再说。

什么是SNAT和DNAT呢

        NAT(Network Address Translation),又称作网络地址转换,顾名思义,就是在网络数据的传输过程中,对网络地址进行转换以达到网络数据传输的目的。相关详细的解释可以参考(网络地址转换–维基百科)。 
        SNAT(源地址转换)和DNAT(目标地址转换) 是在防火墙中,对NAT的两种应用方式。前面我们介绍过,防火墙中有四个表,一种一个表就是nat表,这个nat表就是用来对包地址进行管理的。

SNAT

        SNAT 只的是在网络传输过程中,将源地址进行转换。我们都知道,在访问互联网的过程中,网络是以数据包的形式进行传输的,而数据包中包含了目标地址和源地址,这样,就能够保证我们请求的服务器在处理数据之后,数据还能够返回。SNAT就是将数据包中源目标地址进行了转换。 
        IPV4地址数量,有限,但是全球各地却有着大量的计算机能够进入到互联网访问资源,这里使用的就是SNAT地址转换。
        在一个公司内部搭建了局域网,局域网内的用户想要访问互联网就需要使用SNAT技术进行地址转换,同时由于源地址发生了变化,也相对的提升了局域网内主机的安全。

        SNAT 的网络拓扑结构如下所示。备注,图中所注的IP地址为笔者实验环境的IP地址,只为增加理解,顺便进行下面的实验,实际生产中,IP地址应该会有所不同。

环境说明

担任角色 系统环境 主机名 地址 功能描述
WEB服务器 CentOS 7 web 172.18.3.77 提供web服务
Linux防火墙 CentOS 7 iptables 172.18.2.77 192.168.2.77 定义防火墙规则
局域网用户 CentOS 6 lan 192.168.2.66 访问互联网

SNAT的网络结构拓扑

        只有在局域网内的主机请求互联网上的服务时,才会发生源地址转换,结合下面的数据流转过程就会很容易理解。

SNAT 数据流向

DNAT

        如果我们在局域网内部署了一套WEB服务,但是我们想在互联网上进行访问,这时应该如何解决。对于公司来说,可能只有一个ipv4地址链接了互联网。
        这时就需要使用到DNAT,也就是目标地址转换。从下面的网络拓扑图中我们可以看到,互联网上的主机想要访问局域网内部的网络服务,具有外部网络地址的防火墙或者路由来进行。

担任角色 系统环境 主机名 地址 功能描述
互联网用户 CentOS 7 web 172.18.3.77 访问局域网内web服务
Linux防火墙 CentOS 7 iptables 172.18.2.77 192.168.2.77 定义防火墙规则
局域网WEB服务 CentOS 6 lan 192.168.2.66 提供web服务

DNAT数据流程

如何在防火墙上定义NAT规则?

        上面介绍了许多关于SNAT和DNAT的相关概念,那么在防火墙中应该如何定义NAT规则呢?
        在之前的文章中,我们知道NAT表能够影响的由四个链,分别是PREROUTING链,INPUT链,OUTPUT链,POSTROUTING链,根据前面的图示以及我们的分析,可以总结出,SANT的防火墙过滤规则应该定义在POSTROUTING链上,而DNAT防火墙的过滤转发规则应该定义在PREROUTING链上,这样就能够将网络请求进行转发了。

实验实现SNAT

实验环境

清除防火墙的过滤规则,关闭SELinux 
开启防火墙的路由转发功能,确保局域网内用户能够ping通互联网服务。
进行网络测试

# 清除防火墙过滤规则
[root@iptables ~]#iptables -F 

# 开启转发功能
[root@iptables ~]#echo 1 > /proc/sys/net/ipv4/ip_forward

# 局域网内用户可以ping通互联网
[root@lan ~]$ping 172.18.3.77
PING 172.18.3.77 (172.18.3.77) 56(84) bytes of data.
64 bytes from 172.18.3.77: icmp_seq=1 ttl=63 time=1.00 ms
64 bytes from 172.18.3.77: icmp_seq=2 ttl=63 time=1.52 ms


# 局域网内用户可以访问互联网
[root@lan ~]$curl http://172.18.3.77
www.google.com

实验过程

首先对192.168.2网段的请求进行SNAT地址转换,转换后的源地址变为172.18.2.77

[root@iptables ~]#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 172.18.2.77

# 查看一下nat表的防火墙规则
[root@iptables ~]#iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 1 packets, 229 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1 packets, 229 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 SNAT       all  --  *      *       192.168.2.0/24       0.0.0.0/0            to:172.18.2.77

从局域网内部访问互联网的服务,还是可以正常访问

[root@lan ~]$curl http://172.18.3.77
www.google.com

在互联网的那台主机上查看一下最近的访问记录,可以看到最近的一条访问信息是由172.18.2.77访问而来的,这说明,发生了网络地址转换。

[root@web ~]#tail -1 /var/log/httpd/access_log
172.18.2.77 - - [23/Oct/2017:15:46:35 +0800] "GET / HTTP/1.1" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

总结一下SNAT的命令格式

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

实验实现DNAT

实验环境

清除SNAT实验里设置的各种过滤规则。
互联网的主机,能够访问防火墙主机,但是不能够访问局域网内的网络服务,通过防火墙的外网IP也不能够访问。

# 直接访问内网服务不可行
[root@web ~]#curl http://192.168.2.66
curl: (7) Failed to connect to 192.168.2.66: Network is unreachable

# 通过防火墙的外网IP访问也不行
[root@web ~]#curl http://172.18.2.77
curl: (7) Failed connect to 172.18.2.77:80; Connection refused

# 可以访问到防火墙的地址
[root@web ~]#ping 172.18.2.77
PING 172.18.2.77 (172.18.2.77) 56(84) bytes of data.
64 bytes from 172.18.2.77: icmp_seq=1 ttl=64 time=0.857 ms
64 bytes from 172.18.2.77: icmp_seq=2 ttl=64 time=0.642 ms

实验过程

        根据之前,我们的讨论,我们应该在nat表的PREROUTING链上添加策略,将访问公网地址(172.18.2.77)的请求转发到内网地址(192.168.2.66)。

[root@iptables ~]#iptables -t nat -A PREROUTING -d 172.18.2.77 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.66:80

# 查看一下建立好的规则
[root@iptables ~]#iptables -vnL -t natChain PREROUTING (policy ACCEPT 7 packets, 1351 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            172.18.2.77          tcp dpt:80 to:192.168.2.66:80

Chain INPUT (policy ACCEPT 7 packets, 1351 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

此时,再从互联网主机通过外网IP访问局域网内服务的话,就能够看到不一样的结果。

[root@web ~]#curl http://172.18.2.77
LAN SERVER

查看局域网内的web服务器的访问日志,就可以看到有一条由外网主机访问到的记录。

[root@lan ~]$tail -1 /var/log/httpd/access_log 
172.18.3.77 - - [25/Sep/2017:07:34:18 +0800] "GET / HTTP/1.1" 200 11 "-" "curl/7.29.0"

至此DNAT的防火墙策略就已经配置完成了。

总结一下DNAT的命令格式

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

经过上面的配置和学习,我们搭建了简单的网络防火墙。实际生产中可以根据自己的实际情况进行更加详细的设置。

资料参考

本文部分思路和图示参考自以下博客,在此致敬。

http://ximenfeibing.blog.51cto.com/8809812/1652136/


个人博客地址:http://www.pojun.tech/ 欢迎访问


     本文转自Eumenides_s 51CTO博客,原文链接:http://blog.51cto.com/xiaoshuaigege/1975277,如需转载请自行联系原作者


相关文章
|
4天前
|
负载均衡 安全 网络安全
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
218 73
|
2月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
61 1
|
3月前
|
机器学习/深度学习 安全 网络安全
|
3月前
|
监控 安全 网络协议
透明防火墙:网络安全的隐形守护者
【8月更文挑战第24天】
109 0
|
3月前
|
存储 安全 网络安全
状态防火墙:网络安全的坚实守护者
【8月更文挑战第24天】
103 0
|
3月前
|
SQL 网络协议 安全
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
|
3月前
|
负载均衡 Linux 网络虚拟化
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
|
1天前
|
SQL 安全 算法
网络安全与信息安全:漏洞、加密技术与安全意识的交织
【10月更文挑战第28天】在数字时代的浪潮中,网络安全与信息安全成为保护个人隐私和企业资产的重要盾牌。本文将深入探讨网络安全中的常见漏洞,介绍加密技术的基本概念及其在保护数据中的应用,并强调提高安全意识的重要性。通过分析具体案例和提供实用的防护措施,旨在为读者提供一个全面的网络安全知识框架,以应对日益复杂的网络威胁。
11 4
|
1天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第28天】在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。然而,随着技术的发展,网络安全漏洞也越来越多,加密技术和安全意识的重要性也越来越被人们所认识。本文将分享一些关于网络安全漏洞、加密技术和安全意识的知识,帮助读者更好地保护自己的网络信息安全。