下面看一下实例:反向代理(10.0.13.222)和透明代理(10.0.1.66)站点。
反向代理:
Nginx自带反向代理功能,只需在Linux系统上开启相应的端口。
反向代理规则链移植:
iptables -t filter -N waf_proxy
iptables -t filter -A INPUT -j waf_proxy
iptables -A waf_proxy -p tcp -m multiport --ports 8001 -j ACCEPT
透明代理:
数据包从网卡上来,原本经过二层的broute表转发数据包。ebtable命令让其在二层的转发包Drop掉,直接上三层。在broute表添加规则,如下:
数据包上至三层后,首先经过PREROUTING阶段,在该阶段,要给数据包打上MARK标志。如下:
并且调用iptables的TPROXY模块。tproxy功能主要:
-
重定向一部分经过路由选择的流量到本地路由进程(类似NAT中的REDIRECT)。
-
使用非本地IP作为源IP初始化连接。
-
无需iptables参与,在非本地IP上起监听。
tproxy使得打标记的数据包走本地策略路由表3000,如下:
然后在filter的INPUT链上规则,放开本地监听代理端口。如下:
透明代理规则链移植:
ebtables添加链规则:
ebtables -t broute -A waf_redirect -p ipv4 --ip-proto tcp --ip-src 10.0.1.66 --ip-sport 80 -j redirect --redirect-target DROP >/dev/null 2>&1
ebtables -t broute -A waf_redirect -p ipv4 --ip-proto tcp --ip-dst 10.0.1.66 --ip-dport 80 -j redirect --redirect-target DROP >/dev/null 2>&1
mangle添加链规则:(WAF之前的链waf_redirect在jump_pos链下绑着)
iptables -t mangle -N waf_redirect
iptables -t mangle -A proxy_pos -j waf_redirect
数据包重定向操作:
iptables -t mangle -A waf_redirect -d 10.0.1.66 -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1234 --on-port 8001 >/dev/null 2>&1
mangle添加链添加:(WAF之前的链waf_socket_match在jump_pos链下绑着)
iptables -t mangle -N waf_socket_match
iptables -t mangle -A proxy_pos -j waf_socket_match
iptables -t mangle -N DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 0x1234
iptables -t mangle -A DIVERT -j ACCEPT
服务端包到本地:
iptables -t mangle -A waf_socket_match -p tcp -s 10.0.1.66 --sport 80 -m socket -j DIVERT >/dev/null 2>&1
filter添加链规则:(iptables接收透明代理回应到本地的数据包)
iptables -A waf_proxy -s 10.0.1.66 -p tcp --sport 80 -j ACCEPT >/dev/null 2>&1(不必须)
iptables -A waf_proxy -d 10.0.1.66 -p tcp --dport 80 -j ACCEPT >/dev/null 2>&1
其它相关配置:
filter添加链规则:(jiaoxt added forward rst pkt for testlink site died)
iptables -t filter -N waf_forward_rst
iptables -t filter -I FORWARD -j waf_forward_rst
iptables -A waf_forward_rst -s 10.0.1.66 -p tcp --sport 80 -j REJECT --reject-with tcp-reset >/dev/null 2>&1