防火墙—SNAT和DNAT策略的原理及应用、防火墙规则的备份、还原和抓包
- 一、SNAT策略概述
- 1、SNAT应用环境
- 2、SNAT原理
- 3、SNAT转换的前提条件
- 二、SNAT策略的应用
- 1、临时打开
- 2、永久打开
- 3、SNAT转换1:固定的公网IP地址
- 4、SNAT转换2:非固定的公网IP地址(共享动态IP地址)
- 5、实验
- 三、DNAT策略概述
- 1、DNAT应用环境
- 2、DNAT原理
- 3、DNAT前提条件
- 四、DNAT策略的应用
- 1、DNAT转换1:发布内网的Web服务
- 2、DNAT转换2:发布时修改目标端口
- 3、扩展
- 4、实验
- 五、防火墙规则的备份、还原和抓包
- 1、导出(备份)所有表的规则
- 2、导入(还原)规则
- 3、iptables自动还原
- 4、Linux抓包工具tcpdump
一、SNAT策略概述
- SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据特定的条件修改数据包的源IP地址。
1、SNAT应用环境
- 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
2、SNAT原理
- 修改数据包源地址
3、SNAT转换的前提条件
- 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
二、SNAT策略的应用
1、临时打开
Linux网关开启IP路由转发:
echo 1 > /proc/sys/net/ ipv4/ip_forward
或
sysctl -w net. ipv4.ip_forward=1
2、永久打开
Linux网关开启IP路由转发:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #读取修改后的配置
3、SNAT转换1:固定的公网IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
内网IP 出站 外网网卡 外网IP或地址池
4、SNAT转换2:非固定的公网IP地址(共享动态IP地址)
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE
- 扩展:一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网
5、实验
- SNAT环境准备:三台主机,一台私网主机、一台公网主机、一台做SNAT转换的网关服务器
具体操作如下:
-
首先将外网,内网服务器的防火墙都关上
-
然后在外网服务器上安装httpd,并在/var/www/html目录下创建一个文本内容
- 在内网和外网服务器上将其网卡的网关地址改成对应的服务器上对应的内外网地址
- 在网关服务器的 /etc/sysctl.conf文件中打开路由转发功能
- -to(- -to-source的缩写)为转换后的地址也可以写一个地址范围比如192.168.154.100-192.168.154.200
iptables -t nat -A POSTROUTING -s 192.168.154.0.24 -o ens36 -j MASQUERADE ##非固定的公网IP地址(共享动态IP地址)
- 然后去内网主机去访问外网主机的http服务
三、DNAT策略概述
1、DNAT应用环境
- 在Internet中发布位于局域网内的服务器
2、DNAT原理
- 修改数据包的目标地址
3、DNAT前提条件
- 局域网的Web服务器能够访问Internet
- 网关的外网IP地址有正确的DNS解析记录
- Linux网关支持IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p
四、DNAT策略的应用
1、DNAT转换1:发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
入站 外网网卡 外网IP 内网服务器IP
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20
2、DNAT转换2:发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22
#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1
yum -y install net-tools #若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33
- 注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回。
3、扩展
-
主机型防火墙:主要使用 INPUT、OUTPUT 链,设置规则时一般要详细的指定到端口
-
网络型防火墙:主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
4、实验
- DNAT环境准备:三台主机,一台私网主机、一台公网主机、一台做DNAT转换的网关服务器
具体操作如下:
-
首先将外网,内网服务器的防火墙都关上
-
然后在外网服务器上安装httpd,并在/var/www/html目录下创建一个文本内容
- 在内网和外网服务器上将其网卡的网关地址改成对应的服务器上对应的内外网地址
- 在网关服务器的 /etc/sysctl.conf文件中打开路由转发功能
- 然后去外网主机去访问内网主机的http服务
五、防火墙规则的备份、还原和抓包
1、导出(备份)所有表的规则
iptables-save > /opt/ipt.txt
2、导入(还原)规则
iptables-restore > /opt/ipt.txt
3、iptables自动还原
- 将iptables规则文件保存在/etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则
iptables-save > /etc/ sysconfig/ iptables
systemctl stop iptables . #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/ sysconfig/ iptables中的规则
4、Linux抓包工具tcpdump
tcpdump -i ens32 -s 0 src net 12.0.0.0/24 -w /opt/tar.cap
-i ens32 | 只抓经过接口ens32的包 |
---|---|
-t | 不显示时间戳 |
-s 0 | 抓取数据包时默认抓取长度为68字节。加上-s 0后可以抓到完整的数据包 |
src net 12.0.0.0/24 | 数据包的源网络地址为12.0.0.0/24 |
-w /opt/tar.cap | 保存成cap文件, 方便用ethereal (即wireshark)分析 |