Linux iptables防火墻（二）

防偽碼：要輸就輸給追求，要嫁就嫁給幸福

                                    第十一章 iptables防火墻（二）

前言：本章我們來學(xué)習(xí)使用iptables做網(wǎng)關(guān)服務(wù)器，并使用NAT功能共享上網(wǎng)以及發(fā)布服務(wù)器，和我們之前學(xué)過的nat原理完全一樣，所以本章主要就是實(shí)驗(yàn)操作了。最后我們?cè)谠賹憘€(gè)防火墻腳本（快速部署防火墻規(guī)則），加綜合實(shí)戰(zhàn)演練。

一、SNAT策略

SNAT和我們?cè)诼酚善魃献龅?/span>PAT是一樣的，為了局域網(wǎng)接入internet，原理就不說了，直接做實(shí)驗(yàn)。

1、實(shí)驗(yàn)環(huán)境

在虛擬機(jī)上簡(jiǎn)化為如下圖

2、在網(wǎng)站服務(wù)器上搭建網(wǎng)站

3、在internet測(cè)試機(jī)上同樣搭建網(wǎng)站

4、在網(wǎng)關(guān)服務(wù)器上添加兩塊網(wǎng)卡，分別是eth0：192.168.1.1和eth1：173.16.16.1，然后開啟路由轉(zhuǎn)發(fā)功能：

5、在網(wǎng)關(guān)服務(wù)器上配置SNAT策略

6、在內(nèi)部網(wǎng)站服務(wù)器上訪問http：//173.16.16.16

7、到internet測(cè)試機(jī)上查看日志，發(fā)現(xiàn)訪問者不是192.168.1.7，而是173.16.16.1就對(duì)了

cat  /usr/local/httpd/logs/access_log

二、DNAT策略

DNAT策略與我們之前學(xué)習(xí)過的靜態(tài)nat是一樣的，可以一對(duì)一，也可以端口映射，主要目的是為了發(fā)布服務(wù)器。

1、實(shí)驗(yàn)環(huán)境和上一個(gè)實(shí)驗(yàn)一樣

2、在網(wǎng)關(guān)服務(wù)器上執(zhí)行DNAT命令

3、在internet測(cè)試機(jī)上訪問:173.16.16.1，打開的網(wǎng)站是192.168.1.7

三、發(fā)布企業(yè)內(nèi)部的ssh服務(wù)器

實(shí)驗(yàn)要求：2345端口對(duì)應(yīng)網(wǎng)關(guān)服務(wù)器，2346端口對(duì)應(yīng)網(wǎng)站服務(wù)器

1、實(shí)驗(yàn)環(huán)境：和上一個(gè)實(shí)驗(yàn)一樣

2、在網(wǎng)關(guān)服務(wù)器和網(wǎng)站服務(wù)器分別開啟2345和22端口的ssh

1）在網(wǎng)關(guān)服務(wù)器開啟2345（vim /etc/ssh/sshd_config）

2）網(wǎng)站服務(wù)器只需要開啟sshd服務(wù)即可，默認(rèn)端口就是22

2、在網(wǎng)關(guān)服務(wù)器上設(shè)置DNAT策略

3、在internet測(cè)試機(jī)上進(jìn)行ssh測(cè)試

使用ssh  -p  2345 root@173.16.16.1連接上的是網(wǎng)關(guān)服務(wù)器

使用ssh -p root@173.16.16.1連接上的是網(wǎng)站服務(wù)器

四、規(guī)則的導(dǎo)入、導(dǎo)出

前言：備份可以把配置過的防火墻規(guī)則存儲(chǔ)到一個(gè)位置，當(dāng)更換防火墻或者規(guī)則出錯(cuò)的情況下，可以迅速恢復(fù)。

1、執(zhí)行iptables-save命令導(dǎo)出linux防火墻規(guī)則。

例如：

1）在網(wǎng)站服務(wù)器上查看防火墻規(guī)則

2）然后執(zhí)行備份

3）把網(wǎng)站服務(wù)器上的規(guī)則全部刪除

4）執(zhí)行iptables-resore命令恢復(fù)，恢復(fù)之后查看規(guī)則已經(jīng)還原。

2、使用iptables服務(wù)備份恢復(fù)防火墻規(guī)則

把iptables-save的備份存儲(chǔ)到/etc/sysconfig/iptables，然后就可以通過iptables服務(wù)快速恢復(fù)，每次開機(jī)后就自動(dòng)重建。如果想恢復(fù)規(guī)則的時(shí)候，就直接重新啟動(dòng)iptables服務(wù)即可。

1）執(zhí)行下面的命令把規(guī)則存儲(chǔ)到服務(wù)文件中

2）然后把防火墻規(guī)則刪除

3）執(zhí)行service iptables  restart就可以恢復(fù)規(guī)則

4）如果想清空規(guī)則的時(shí)候，除了執(zhí)行iptables -F，也可以停止防火墻服務(wù)。

五、使用防火墻腳本

使用腳本可以快速部署防火墻規(guī)則，當(dāng)需要配置多臺(tái)防火墻的時(shí)候，使用腳本可以快速生成規(guī)則，提高工作效率。

例如：將output鏈中的默認(rèn)策略設(shè)置為允許，不添加其他規(guī)則，將input鏈的默認(rèn)策略設(shè)置為拒絕，只放行對(duì)個(gè)別服務(wù)的訪問，以及響應(yīng)本機(jī)訪問請(qǐng)求的數(shù)據(jù)包。

1）Vi /opt/myipfw.hostonly

2）執(zhí)行腳本

3）查看規(guī)則

綜合實(shí)戰(zhàn)：

實(shí)驗(yàn)環(huán)境：

需求描述：

使用SNAT策略實(shí)現(xiàn)共享上網(wǎng)

使用DNAT策略發(fā)布Web服務(wù)、SSH服務(wù)

實(shí)現(xiàn)思路：

注意清空原有防火墻規(guī)則

正確準(zhǔn)備好實(shí)驗(yàn)環(huán)境，網(wǎng)關(guān)中打開IP轉(zhuǎn)發(fā)

正確設(shè)置SNAT、DNAT規(guī)則

一、準(zhǔn)備實(shí)驗(yàn)環(huán)境

1、正確配置各主機(jī)的網(wǎng)絡(luò)參數(shù)（ip地址，子網(wǎng)掩碼）

2、網(wǎng)段192.168.1.0/24中的主機(jī)將默認(rèn)網(wǎng)關(guān)設(shè)為192.168.1.1

3、在網(wǎng)站服務(wù)器192.168.1.7上添加測(cè)試賬號(hào)wzadm，啟用web服務(wù)，ssh服務(wù)

4、在Internet測(cè)試機(jī)173.16.16.16中啟用web服務(wù)，去掉默認(rèn)網(wǎng)關(guān)設(shè)置

二、配置Linux網(wǎng)關(guān)服務(wù)器

1、打開路由轉(zhuǎn)發(fā)功能

2、添加SNAT策略，使局域網(wǎng)段192.168.1.0/24能上網(wǎng)

3、添加DNAT策略，使用公網(wǎng)地址173.16.16.1、端口80，發(fā)布內(nèi)網(wǎng)主機(jī)192.168.1.7中的web服務(wù)

4、添加DNAT策略，使用公網(wǎng)地址173.16.16.1、端口2222，發(fā)布內(nèi)網(wǎng)主機(jī)192.168.1.7中的OpenSSH服務(wù)

三、驗(yàn)證實(shí)驗(yàn)效果

1、在網(wǎng)站服務(wù)器192.168.1.7中，能夠訪問173.16.16.16，并且查看主機(jī)173.16.16.16的web訪問日志時(shí)，所記錄的客戶機(jī)是173.16.16.1

2、在Internet測(cè)試機(jī)173.16.16.16中，能夠訪問173.16.16.1，顯示為網(wǎng)站服務(wù)器192.168.1.7中的網(wǎng)頁

3、在Internet測(cè)試機(jī)173.16.16.16中，能夠通過173.16.16.1的2222端口進(jìn)行SSH遠(yuǎn)程登錄，以網(wǎng)站服務(wù)器192.168.1.7中的wzadm用戶進(jìn)行驗(yàn)證，登錄后查看當(dāng)前ip應(yīng)該是192.168.1.7

謝謝觀看，希望能真心的幫到您！

本文出自 “一盞燭光” 博客，謝絕轉(zhuǎn)載！