iptables防火墙(二)
- 一、SNAT策略
- 1、SNAT策略简述
- 2、配置实验
- 二、DNAT策略
- 1、DNAT策略简述
- 2、配置实验
- 三、Linux抓包工具tcpdump
- 四、防火墙规则保存
一、SNAT策略
1、SNAT策略简述
SNAT策略就是将从内网传给外网的数据包的源IP由私网IP转换成公网IP,并将从外网服务器响应返回到内网的数据包的目的IP由公网IP转换成私网IP
SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
SNAT原理:修改数据包的源地址。
SNAT转换前提条件:
- 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- 2.Linux网关开启IP路由转发
- 临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forwared=1- 永久打开:
vim /etc/sysctl.conf 加入内容:net.ipv4.ip_forward=1,保存退出 sysctl -p ##读取修改后的配置
2、配置实验
SNAT环境准备:三台主机,一台私网主机、一台公网主机、一台做SNAT转换的网关服务器
首先我们在网关服务器上配置允许服务器转发路由(服务器默认不能转发路由),配置文件为:/etc/sysctl.conf,在配置文件中加上一行:
net.ipv4.ip_forward=1
–to(–to-source的缩写)为转换后的地址也可以写一个地址范围比如192.168.154.100-192.168.154.200
iptables -t nat -A POSTROUTING -s 192.168.154.0.24 -o ens36 -j MASQUERADE ##非固定的公网IP地址(共享动态IP地址)
二、DNAT策略
1、DNAT策略简述
DNAT策略简述:将从外网发来的数据包的目的地址由公网IP/端口,转换成私网IP/端口,网关服务器再根据私网IP转发给内网服务器将从内网服务器发来的应答响应数据包,的目的地址由私网IP/端口转换成公网IP/端口,然后继续转发给数据包发送过来时的源地址。
2、配置实验
DNAT环境准备:三台主机,一台私网主机、一台公网主机、一台做DNAT转换的网关服务器
三、Linux抓包工具tcpdump
tcpdump抓包工具的使用方法
yum install -y tcpdump
tcpdump tcp -i ens32 -t -s 0 -c 100 and dst port !22 and src net 192.168.60.0/24 -w xxx.cap保存
(1)tcp:ip icmp arp rarp 和 tcp udp icmp 只写协议选项等都要放到第一个参数的位置,用来过滤数据包的类型
(2)-i ens32:只抓经过接口ens33的包
(3)-t:不显示时间戳
(4)-s 0:抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓取完整的数据包
(5)-c 100:只抓取100个数据包
(6)and:表示“与”的意思可以不加
(7)dst port !22:不抓取目标端口是22的数据包
(8)src net 192.168.60.0/24:数据包的源网段地址
(9)-w ./xxx.cap:保存成cap文件方便ethereal(即wireshark)分析
四、防火墙规则保存
将现有规则保存至文件:iptables-save > xxx
将保存规则的文件导入:iptables-restore < xxx
默认规则文件:/etc/sysconfig/iptables
想每次启动默认启用的规则可以保存到/etc/sysconfig/iptables 这个文件中或者将这个文件备份将我们保存的文件移动过来。
