基础
整体介绍
iptables
的是一个用户空间实用程序,允许系统管理员来配置规则实现路由以及防火墙策略。
-
表,对应不同处理数据包的内核模块。表由链组成。
filter
:过滤nat
:网络地址转换mangle
: 拆解和封装报文raw
:最先接触数据包的表,可以让某个数据包跳过过滤原则
-
链,不同访问路径会经过不同的链。常用表包括nat,filter。默认情况:
filter
表包含INPUT,OUTPUT, FORWARD
内建链。nat
表包含PREROUTING, POSTROUTING ,OUTPUT
。
语法
-i eth0 匹配是否从网卡eth0进来
-o 匹配数据流出的网卡
-s 192.168.0.1 匹配来自192.168.0.1的数据包
-d 10.11.44.33 匹配去往10.11.44.33的数据包
--dport 80 匹配目的端口是80的数据包
--sport 80 匹配源端口是80的数据包
-j 动作处理,包括ACCEPT, DROP, SNAT, DNAT, MASQUERADE
SNAT与DNAT介绍
DNAT (destination networkaddress translation)
的缩写,即目标网络地址转换,典型的应用是,有个web
服务器放在内网配置内网ip
,前端有个防火墙配置公网ip
,互联网上的访问者使用公网ip
来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip
,防火墙会把这个数据包的报头改写一次,将目标地址改写成web
服务器的内网ip
,然后再把这个数据包发送到内网的web
服务器上,这样,数据包就穿透了防火墙,并从公网ip
变成了一个对内网地址的访问了即DNAT
,基于目标的网络地址转换。
SNAT ( source networkaddress translation)
的缩写,即源地址目标转换。比如,多个PC
机使用ADSL
路由器共享上网,每个PC
机都配置了内网IP
,PC
机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip
,当外部网络的服务器比如网站web
服务器接到访问请求的时候,他的日志记录下来的是路由器的ip
地址,而不是pc
机的内网ip
,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了,所以叫做SNAT
,基于源地址的地址转换。
MASQUERADE
地址伪装,是SNAT
的一个特例。SNAT
是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP
,这样接收方就认为数据包的来源是被替换的那个IP
的主机;
MASQUERADE
是用发送数据的网卡上的IP
来替换源IP
,因此对于那些IP
不固定的场合,比如拨号网络或者通过 dhcp
分配IP
的情况下,就得用 MASQUERADE;
DNAT
就是指数据包从网卡发送出去的时候,修改数据包中的目的 IP
,表现为如果你想访问 A
,可是因为网关做了 DNAT
,把所有访问 A
的数据包的目的IP
全部修改为 B
,那么你实际上访问的是B
;
因为,路由是按照目的地址来选择的,因此DNAT
是在PREROUTING
链上来进行的,而SNAT
是在数据包发送出去的时候才进行,因此是在POSTROUTING
链上进行的。
端口转发
单网卡转发
多个主机之间,实现数据转发功能。中间120
服务器用于数据转发。130
服务器运行nginx服务,默认端口80
,需要将此服务映射到120
服务器的5555
端口。然后用户直接访问http://192.168.1.120:5555/
就可以访问到指定服务。
-
130
服务器已部署好nginx
服务
-
如果我们还未做
iptables
端口转发,直接访问http://192.168.1.120:5555/
,肯定是访问不通的。
-
在
Proxy
服务器配置端口转发功能。
开启路由转发规则并立即生效
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
数据包被转发到目标主机
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.120 --dport 5555 -j DNAT --to-destination 192.168.1.130:80
转发数据包回路
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.130 --dport 80 -j SNAT --to-source 192.168.1.120
查看配置好的规则是否已经生效。
[root@centos7 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere centos7 tcp dpt:personal-agent to:192.168.1.130:80
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- anywhere test1 tcp dpt:http to:192.168.1.120
[root@centos7 ~]#
- 访问
Proxy
服务器指定端口,确认iptables
是否已经生效
抓包验证
在130
服务器抓包,tcp
协议,指定130
服务器网卡,130
服务器上的端口80
,源主机是120
tcpdump tcp -i ens192 port 80 and src host 192.168.1.120
tcpdump -i ens192 host 192.168.1.130 -w 120.pcap
双网卡转发
常用操作
- 查看指定表dilter的规则,列出行号
iptables -t filter -nvL --line-number
- 删除指定规则filter表中的FORWARD链第1条规则
iptables -t filter -D FORWARD 1
- 拒绝所有人访问
iptables -t filter -A INPUT -j DROP
引用
- https://www.cnblogs.com/morgan363/p/11811566.html
- https://www.cnblogs.com/gaoyanbing/p/12781544.html
- https://untitled.pw/software/linux/2818.html 防止暴力攻击
- https://juejin.cn/post/7090181016135925796 内容详细,格式完整