网络防火墙与NAT服务.doc

精通Linux网络服务器配置.管理.检测及应用代码第10章 网络防火墙与NAT服务定义规则链的默认策略默认策略的定义格式如下：rootlocalhost # iptables -t 表名 实例1 将filter表INPUT链的默认策略定义为接收数据包。rootlocalhost # iptables P INPUT ACCEPT实例2 将NAT表OUTPUT链的默认策略定义为丢弃数据包。rootlocalhost # iptables t nat P OUTPUT DROP查看iptables规则查看iptables规则的命令格式为：rootlocalhost # iptables -t 表名 实例 查看NAT表所有链的规则列表，执行如下指令。rootlocalhost # iptables t nat L增加、插入、删除和替换规则相关规则定义的命令格式为：rootlocalhost # iptables -t 表名 规则编号 -i | o 网卡名称 -p 协议类型 -s 源IP地址 | 源子网 -sport 源端口号 -d 目标IP地址 | 目标子网 -dport 目标端口号 实例1 为filter表INPUT链添加一条规则，规则的内容是将来自IP地址为02这台主机的数据包都丢弃，然后查看filter表的INPUT链规则列表。rootlocalhost # iptables t filter A INPUT s 02 j DROProotlocalhost # iptables t filter L INPUT实例2 为filter表INPUT链添加一条规则，规则的内容是接收来自IP地址为02这台主机的数据包，然后查看filter表的INPUT链规则列表。rootlocalhost # iptables t filter A INPUT s 02 j ACCEPTrootlocalhost # iptables t filter L INPUT实例3 在filter表的INPUT链规则列表中的第二条规则前插入一条规则，规则的内容是禁止这个子网里的所有主机访问TCP协议的80端口，然后查看filter表的INPUT链规则列表。rootlocalhost # iptables t filter I INPUT 2 s /24 p tcp dport 80 -j DROProotlocalhost # iptables t filter L INPUT注意 子网掩码与Windows下的写法不一样，本例 “/24”中的“/24”就是子网掩码“”的意思，也就是“/”号后面的数字表示子网掩码的二进制位中前面为“1”共有多少位。如“/16”等价于“”，“/8”等价于“”。实例4 删除filter表的INPUT链规则列表中的第三条规则，然后查看filter表的INPUT链规则列表。rootlocalhost # iptables t filter D INPUT 3rootlocalhost # iptables t filter L INPUT实例5 替换filter表的INPUT链规则列表中的第二条规则，禁止这个子网里的所有主机访问TCP协议的80端口，然后查看filter表的INPUT链规则列表。rootlocalhost # iptables t filter R INPUT 2 s /24 p tcp dport 80 j DROProotlocalhost # iptables t filter L INPUT清除规则和计数器清除规则定义的格式为：rootlocalhost # iptables -t 表名 实例1 删除filter表中所有规则，然后查看filter表的INPUT、FORWARD和OUTPUT链规则列表。rootlocalhost # iptables F实例2 将filter表中数据包计数器和流量计数器归零。rootlocalhost # iptables Z实例3 删除NAT表中所有规则，然后查看NAT表的PREROUTING、POSTROUTING和OUTPUT链规则列表。rootlocalhost # iptables t nat F使用拨号带动局域网上网模式使用iptables实现NAT服务的具体步骤如下：第1步，修改/etc/sysctl.conf文件内容，将“/proc/sys/net/ipv4/ip_forward”这行设置为“1”，来实现打开内核的路由功能。执行命令：rootlocalhost # echo “1”/proc/sys/net/ipv4/ip_forward第2步，在nat表中的POSTROUTING链中加入一条规则实现IP伪装（IP Masquerading）。该规则内容是，允许所有内部网络的主机连接到Internet。如此一来即可使用iptables实现NAT服务。执行命令：rootlocalhost # iptables t nat A POSTROUTING s /24 j MASQUERADE在ADSL连接成功的情况下，经过以上配置，这台Linux主机就可以充当NAT服务器了。IP映射模式假设以下情景：该ISP给A单位www服务器分配的IP是（伪ip:00，真实ip:00），给B单位www服务器分配的IP是（伪ip:00，真实ip:00），Linux防火墙的IP地址分别为（内网接口eth1:，外网接口eth0:），然后将分配给A、B单位的真实IP绑定到防火墙的外网接口，以root权限执行以下命令：rootlocalhost # ifconfig eth0 add 00 netmask rootlocalhost # ifconfig eth0 add 00 netmask 成功升级内核后安装iptables，然后执行以下脚本:#载入相关模块rootlocalhost # modprobe ip_tablesrootlocalhost # modprobe ip_nat_ftp首先，对防火墙接收到的目的IP为00和00的所有数据包进行目的NAT（DNAT）：rootlocalhost # iptables -A PREROUTING -i eth0 -d 00 -j DNAT -to 00rootlocalhost # iptables -A PREROUTING -i eth0 -d 00 -j DNAT -to 00其次，对防火墙接收到的源IP地址为00和00的数据包进行源NAT（SNAT）：rootlocalhost # iptables -A POSTROUTING -o eth0 -s 00 -j SNAT -to 00rootlocalhost # iptables -A POSTROUTING -o eth0 -s 00 -j SNAT -to 00这样，所有目的IP为00和00的数据包都将分别被转发给00和 00；而所有来自00和00的数据包都将分 别被伪装成由00和00，从而也就实现了IP映射。禁止访问指定的网站实例1 使用域名来指定禁止的网站如果需要禁止用户访问域名为的网站，则需要添加iptables规则，然后查看filter表的FORWARD链规则列表。执行命令：rootlocalhost # iptables I FORWARD d j DROProotlocalhost # iptables t filter L FORWARD实例2 使用IP地址来指定禁止的网站禁止用户访问ip地址为0的网站。添加iptables规则，然后查看filter表的FORWARD链规则列表。执行命令：rootlocalhost # iptables I FORWARD d 0 j DROProotlocalhost # iptables t filter L FORWARD禁止部分指定客户机上网实例1 添加iptables规则禁止ip地址为13的客户机上网。然后查看filter表的FORWARD链规则列表。rootlocalhost # iptables -I FORWARD -s 02 -j DROProotlocalhost # iptables -t filter -L FORWARD实例2 添加iptables规则禁止子网里的所有客户机上网。然后查看filter表的FORWARD链规则列表。执行命令：rootlocalhost # iptables -I FORWARD -s /24 -j DROProotlocalhost # iptables -t filter -L FORWARD禁止客户机访问某些服务实例 禁止子网里所有的客户机使用Telnet协议链接远程计算机（即封闭TCP协议的23号端口），然后查看filter表的FORWARD链规则列表。执行以下命令：rootlocalhost#iptables-I FORWARD-s /24 -p tcp -dport 23-j DROProotlocalhost # iptables -