Linux网络管理及应用第13章.ppt

《Linux网络管理及应用第13章.ppt》由会员分享，可在线阅读，更多相关《Linux网络管理及应用第13章.ppt（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Linux网络管理及应用第13章 iptables防火墙与NAT服务器的配置与应用一、一、iptablesiptables的基本概念的基本概念1.iptables 简介iptablesiptables防防火火墙墙管管理理程程序序是是用用来来建建立立NetfilterNetfilter防防火火墙墙的的，它它的的前前身身是是ipchainsipchains。ipchainsipchains是是随随着着Linux Linux 2.2.x2.2.x内内核核发发行行的的防防火火墙墙管管理理程程序序，在在LinuxLinux内内涵涵发发展展到到2.4.x2.4.x后后，ipchainsipchains逐逐

2、渐渐被被功功能能更更强强大大的的iptablesiptables所所取取代代。和和ipchainsipchains相相比比，iptablesiptables在在语语法法上上最最大大的的差差别别在在于于输输入入和和输输出出的的网网络络接接口口被被分分开开定定义义。iptablesiptables具具有有很很高高的的模模块块化化程程度度，一一些些模模块块甚甚至至需需要要显显示示的的加载。加载。iptablesiptables可以配置有状态的防火墙。可以配置有状态的防火墙。通通常常所所说说的的iptablesiptables防防火火墙墙其其实实是是iptables/netfilteriptables

3、/netfilter数数据据包包过过滤滤防防火火墙墙，它它有有两两个个基基本本组组件件，即即netfilternetfilter和和iptablesiptables。2.iptables 概念iptablesiptables使使用用规规则则、链链和和表表的的结结构构来来规规范范整整个个防防火火墙墙的的规规则则集集，下下面面分分别别介介绍绍这这三三个个在在iptablesiptables中中非非常常重要的概念。重要的概念。A.A.规则（规则（rulesrules）iptablesiptables规规则则就就是是iptablesiptables防防火火墙墙管管理理命命令令，用用户户通通过过这这些些

4、命命令令执执行行防防火火墙墙策策略略并并管管理理防防火火墙墙行行为为。规规则则可可以以指指定定源源地地址址、目目的的地地址址、协协议议（TCPTCP、UDPUDP、ICMPICMP等等）和和 服服 务务 类类 型型（HTTPHTTP、FTPFTP、SMTPSMTP）等各种不同的数据包报头信息。）等各种不同的数据包报头信息。B.B.链（链（chainchain）不不同同的的规规则则针针对对不不同同的的数数据据包包，一一般般我我们们在在审审核核特特定定的的数数据据包包时时都都会会采采用用不不止止一一条条规规则则。这这些些针针对对特特定定数数据据包包的的一一条条或或多多条条规规则则即即构构成成了了一

5、一条条规规则则链链（chainschains），也也就就是是数数据据包包在在通通过过防防火火墙墙时时需要通过的路径。需要通过的路径。C.C.表（表（tablestables）iptablesiptables的的表表（tablestables）提提供供某某些些特特定定的的功功能能。iptablesiptables内内置置有有三三个个表表：filterfilter表表、natnat表表和和manglemangle表表。其其中中，filterfilter表表实实现现数数据据包包过过滤滤；natnat表表实实现现网网络地址转换；络地址转换；manglemangle表实现数据包重构。表实现数据包重构。3

6、.iptables 对数据包的处理过程4.状态机制iptablesiptables防防火火墙墙是是有有状状态态的的防防火火墙墙，所所谓谓有有状状态态的的防防火火墙墙指指的的是是iptablesiptables中中有有状状态态机机制制，能能够够对对某某个个特特定定的的连连接接进进行行连连接接跟跟踪踪。iptablesiptables中中运运行行状状态态机机制制允允许许我我们们编编写写更更严严密密的的规规则则，从从而而使使iptablesiptables防防火火墙墙比比非状态防火墙更安全。非状态防火墙更安全。在在iptablesiptables上上一一共共有有四四种种状状态态，分分别别被被称称为为

7、NEWNEW、ESTABLISHEDESTABLISHED、INVALIDINVALID、RELATEDRELATED，这这四四种种状状态态对于对于TCPTCP、UDPUDP、ICMPICMP三种协议均有效。三种协议均有效。二、二、iptablesiptables命令命令1.启动iptables服务启动启动iptablesiptables使用下面两条命令：使用下面两条命令：#/#/sbin/chkconfigsbin/chkconfig level 345 level 345 iptablesiptables on on#/#/sbinsbin/service/service iptables

8、iptables start startChkconfigChkconfig命命令令表表示示在在系系统统启启动动时时iptablesiptables在在相相应应启动级别的缺省设置。启动级别的缺省设置。2.iptables命令格式iptablesiptables命命令令的的基基本本语语法法都都是是以以iptablesiptables本本身身开开始始的的，后后面面跟跟着着一一个个或或多多个个选选项项、一一个个规规则则链链、一一个个预预定定义义条条件件和和一一个个目目标标或或部部署署（dispositiondisposition）。一一般格式如下：般格式如下：iptablesiptablesipta

9、blesiptables-t -t tabletable command match target/jump command match target/jumpl l表选项表选项用于指定命令应用于哪个表，可以是系统内置用于指定命令应用于哪个表，可以是系统内置的的filterfilter表、表、natnat表或者表或者manglemangle表中的任意一个。表中的任意一个。l l命令选项命令选项用于指定用于指定iptablesiptables对提交的规则采取什么样的对提交的规则采取什么样的操作，包括插入、删除和添加规则等。操作，包括插入、删除和添加规则等。命令选项命令选项命命命命 令令令令说说说

10、说 明明明明-A-A 或或 -append-append 在规则列表的最后添加一条规则在规则列表的最后添加一条规则-D-D 或或 -delete-delete 从规则列表中删除一条规则从规则列表中删除一条规则-R-R 或或 -replace-replace 替换规则列表中的某条规则替换规则列表中的某条规则-I-I 或或 -insert-insert 在规则列表的指定位置插入一条规则在规则列表的指定位置插入一条规则-L-L 或或 -list-list 查看查看iptablesiptables的规则列表的规则列表-F-F 或或 -flush-flush 删删除除所所选选的的链链，未未指指定定链链则

11、则清清空空指指定定表表中中的的链链-Z-Z 或或 -zero-zero 将表中数据包计数器和流量计清零将表中数据包计数器和流量计清零-N-N 或或 new-chainnew-chain 用指定名字建立新的链，不能同名用指定名字建立新的链，不能同名-X-X 或或 delete-chaindelete-chain 删删除除指指定定的的用用户户自自定定链链，未未指指定定则则删删除除默默认认表中的所有非内建的链表中的所有非内建的链-P-P 或或 -policy-policy 定义默认策略定义默认策略-E-E 或或 rename-chain rename-chain 对自定义的链重命名对自定义的链重命名

12、l l匹配选项匹配选项匹匹配配选选项项指指定定数数据据包包与与规规则则匹匹配配时时所所应应具具有有的的特特征征，包包括括源源地地址址、目目标标地地址址、传传输输协协议议（例例如如：TCPTCP、UDPUDP、ICMPICMP等等）和和端端口口号号（例例如如：8080、2121、110110等等）。iptablesiptables的的匹匹配配规规则则大大致致可可以以归归为为五五类类：第第一一类类是是generic generic matchesmatches（通通用用匹匹配配），适适用用于于所所有有的的规规则则；第第二二类类是是TCP TCP matchesmatches，只只适适用用于于TCP

13、TCP包包；第第三三类类是是UDP UDP matchesmatches，只只适适用用于于UDPUDP包包；第第四四类类是是ICMP ICMP matches matches，只只适适用用于于ICMPICMP包包；第第五五类类比比较较特特殊殊，针针对对的的是是状状态态（statestate），所所有有者者（ownerowner）和访问的频率限制（和访问的频率限制（limitlimit）等。）等。通通用用匹匹配配是是最最常常用用的的，无无论论我我们们使使用用的的是是何何种种协协议和匹配的何种扩展，通用匹配都是可用的。议和匹配的何种扩展，通用匹配都是可用的。通用匹配选项通用匹配选项匹匹匹匹 配配配

14、配说说说说 明明明明-i-i 或或 -in-interface-in-interface 指指定定数数据据包包从从哪哪个个网网络络接接口口进进入入，如如ppp0ppp0、eth0eth0、eth1eth1、也也可可以以使使用用通通配配符，如符，如eth+eth+，表示所有以太网接口，表示所有以太网接口-o-o 或或 -out-interface-out-interface 指定数据包从哪个网络接口输出指定数据包从哪个网络接口输出-p-p或或 -proto -proto 指指定定数数据据包包匹匹配配的的协协议议，如如tcptcp、udpudp、icmpicmp等等-s-s或或 source so

15、urce 指定数据包匹配的源地址指定数据包匹配的源地址-sport-sport 指定数据包匹配的源端口号指定数据包匹配的源端口号-d-d或或 -destination-destination 指定数据包匹配的目的地址指定数据包匹配的目的地址-dportdport 指定数据包匹配的目的端口号指定数据包匹配的目的端口号l l动作选项动作选项指指定定数数据据包包与与规规则则匹匹配配后后，iptablesiptables对对数数据据包包采采取取何种处理方式。何种处理方式。动作选项动作选项动动动动 作作作作说说说说 明明明明ACCEPTACCEPT接受数据包接受数据包DROPDROP丢弃数据包丢弃数据包

16、REDIRECTREDIRECT将将数数据据包包重重定定向向到到本本机机或或另另一一台台主主机机的的某某个个端端口口，用用于于实实现现透透明明代代理理或或对对外部网开发内部网的某些服务外部网开发内部网的某些服务SNATSNAT源地址转换，即改变数据包的源地址源地址转换，即改变数据包的源地址DNATDNAT目目的的地地址址转转换换，即即改改变变数数据据包包的的目目的的地址地址MASQUERADEMASQUERADEIPIP伪伪装装，即即NATNAT技技术术，MASQUERADEMASQUERADE只只用用于于拨拨号号上上网网所所获获得得的的动动态态IPIP上上，如如果果是是静静态态的的，则则使使

17、用用SNATSNATLOGLOG日日志志功功能能，将将符符合合规规则则的的数数据据包包的的相相关关信信息息记记录录在在日日志志中中，方方便便管管理理员员进进行分析和查错行分析和查错3.iptables常用命令（1 1）定义默认策略）定义默认策略iptablesiptables-t table -t table 参数说明如下：参数说明如下：-t table-t table：指定默认策略将应用于哪个表，可以：指定默认策略将应用于哪个表，可以使用使用filterfilter、natnat和和manglemangle，如果没有特别指明，如果没有特别指明，iptablesiptables默认使用默认使用

18、filterfilter表。表。：定义默认策略。：定义默认策略。：指定默认策略应用于哪个链，可以使：指定默认策略应用于哪个链，可以使用用INPUTINPUT、OUTPUTOUTPUT、FORWORDFORWORD、PREROUTINGPREROUTING和和POSTROUTINGPOSTROUTING。：处理数据包的动作，可以使用接受：处理数据包的动作，可以使用接受数据包（数据包（ACCEPTACCEPT）和丢弃数据包（）和丢弃数据包（DROPDROP）。）。（2 2）查看）查看iptablesiptables规则规则iptablesiptables-t table -t table 参数说明

19、：参数说明：L 查看指定表和指定链的规则列表查看指定表和指定链的规则列表 查查看看指指定定表表中中特特定定链链的的规规则则列列表表，如如果果不不指指明明特特定定链链，则则显显示示某某个个表表中中所所有有链链的的规规则则列列表。表。（3 3）增加、插入、删除和替换规则）增加、插入、删除和替换规则iptablesiptables -t-t table table -A R 链链名名 规规则则编编号号 -i-i|o|o 网网卡卡名名称称 -p-p 协协议议类类型型 -s-s 源源IPIP地地址址|源源子子网网 -sport-sport 源源端端口口号号 -d-d 目目的的IPIP地地址址|目目的的子

20、子网网 -dportdport 目的端口号目的端口号 说明：说明：A A 新新增增加加一一条条规规则则，并并添添加加到到规规则则列列表表的的最最后一行，该参数不能使用规则编号。后一行，该参数不能使用规则编号。I I 在在指指定定列列表表的的指指定定位位置置插插入入一一条条规规则则，未未指指定位置时，则插入到第一条规则前。定位置时，则插入到第一条规则前。D D 从从规规则则列列表表中中删删除除一一条条规规则则，需需要要指指定定具具体的规则定义或规则编号。体的规则定义或规则编号。R R 替替换换指指定定的的规规则则，必必须须要要指指定定待待替替换换的的规规则编号。则编号。规规则则编编号号 编编号号

21、按按照照规规则则列列表表的的顺顺序序排排列列，起起始编号为始编号为1 1。（4 4）清除规则和计数器）清除规则和计数器iptablesiptables t table t table F|Z 说明：说明：F F 删除指定表中所有的规则。删除指定表中所有的规则。Z Z 将指定表中数据包计数器和流量计数器清零。将指定表中数据包计数器和流量计数器清零。三、使用三、使用iptablesiptables建立建立NATNAT服务器服务器1.NAT服务NATNAT（Network Network AddressTranslationAddressTranslation，网网络络地地址址转转换换）是是一一种种

22、用用另另一一个个地地址址来来替替换换IPIP数数据据包包头头部部中中的的源源地地址址或或目目的的地地址址的的技技术术。这这种种技技术术使使得得人人们们在在IPIP地地址址上上完完全全将将内内部部网网络络和和外外部部网网络络隔隔离离开开来来，内内部部网网络络的的地地址址设设置置不不用用受受到到外外部部网网络络的的限限制制，这这使使得得随随着着网网络络应应用用高高速速发发展展对对日日益益严严重重IPv4IPv4地地址址不不足足所造成的紧张状况大为缓解。所造成的紧张状况大为缓解。2.使用iptables配置NAT服务器iptablesiptables完完全全支支持持NATNAT功功能能，包包括括源源

23、地地址址转转换换（SNATSNAT）和和目目的的地地址址转转换换（DNATDNAT），通通过过IPIP伪伪装装，也部分的支持也部分的支持NATNAT功能。功能。3.源地址NAT（SNAT）在在iptablesiptables的的natnat表表中中存存在在两两种种形形式式的的源源地地址址NATNAT：SNATSNAT和和MASQUERADEMASQUERADE，它它们们需需要要定定义义为为不不同同的的策策略略。SNATSNAT是是标标准准的的源源地地址址转转换换；MASQUERADEMASQUERADE是是源源地地址址NATNAT的的一一种种特特殊殊形形式式，主主要要用用于于基基于于动动态态I

24、PIP分分配配的的环环境境中中。这这两两个个策策略略都都是是应应用用于于natnat表表的的POSTROUTINGPOSTROUTING规规则则链链，在在做做出出路路由由决决定定之之后后要要根根据据选选定定的的输输出出接接口口（公公网网IPIP地地址址）对对源源地地址址进进行行修修改。故而，改。故而，SNATSNAT与输出与输出IPIP地址有关。地址有关。（1 1）标准的）标准的SNATSNAT一般的一般的SNATSNAT语法如下：语法如下：iptablesiptables t t natnat A POSTROUTING A POSTROUTING o o j SNAT j SNAT tot

25、osource source ：portportportport说明：说明：省省略略号号表表示示任任何何其其它它指指定定的的数数据据包包选选择择规规则则。本本来来 这这 些些 规规 则则 是是 应应 该该 添添 加加 在在 filterfilter表表 的的 INPUTINPUT、OUTPUTOUTPUT和和FORWARDFORWARD规则链中的。规则链中的。转转换换的的地地址址是是用用来来替替换换数数据据包包中中的的源源IPIP地地址址的的，可以是输出网卡可以是输出网卡IPIP地址，也可以是一个地址范围。地址，也可以是一个地址范围。端端口口范范围围定定义义了了在在NATNAT服服务务器器上上

26、输输出出网网卡卡可可使使用用的端口集合。的端口集合。（2 2）MASQUERADEMASQUERADE源源NATNAT一般的一般的MASQUERADEMASQUERADE源源NATNAT语法如下：语法如下：iptablesiptables t t natnat A A POSTROUTING POSTROUTING o o outgoing interfacej j MASQUERADE MASQUERADE totoports ports portport说明：说明：在在MASQUERADEMASQUERADE源源NATNAT中中，输输出出网网卡卡IPIP地地址址只只有一个，故而不需要参数去

27、指定输出有一个，故而不需要参数去指定输出IPIP地址。地址。4.目的地址NAT（DNAT）在在iptablesiptables的的natnat表表中中存存在在两两种种形形式式的的目目的的地地址址NATNAT：DNATDNAT和和REDIRECTREDIRECT。DNATDNAT是是标标准准的的目目的的地地址址转转换换，REDIRECTREDIRECT是是目目的的地地址址转转换换的的特特殊殊形形式式，可可以将数据包重定向到以将数据包重定向到NATNAT设备的输入或回环接口。设备的输入或回环接口。这这两两个个策策略略都都可可以以应应用用于于natnat表表的的PREROUTINGPREROUTIN

28、G或或OUTPUTOUTPUT规规则则链链，在在做做出出路路由由决决定定前前选选择择合合适适的的输出接口对目的地址进行修改。输出接口对目的地址进行修改。（1 1）标准）标准DNATDNAT一般的一般的DNATDNAT语法如下：语法如下：iptablesiptables t t natnat A A PREROUTING PREROUTING i i incoming interfacej j DNAT DNAT totodestination destination ：portportportport和和iptablesiptables t t natnat A A OUTPUT OUTPUT

29、 i i outgoing interfacej j DNAT DNAT totodestination destination ：portportportport说明：说明：省略号表示可以添加其它的数据包选择条件。省略号表示可以添加其它的数据包选择条件。地地址址选选项项是是用用来来替替换换数数据据包包中中的的原原始始目目的的地地址址的的目目的的地地址址，多多为为本本地地服服务务器器的的地地址址，也也可可以以指指定定一个目的地址范围。一个目的地址范围。端端口口选选项项指指定定数数据据包包将将会会被被送送到到目目的的主主机机输输入入接接口的目的端口或端口范围。端口选项是可选的。口的目的端口或端口

30、范围。端口选项是可选的。（2 2）重定向目的地址）重定向目的地址NATNAT一般的一般的REDIRECTREDIRECT语法如下：语法如下：iptablesiptables t t natnat A A PREROUTING PREROUTING i i incoming interfacej j REDIRECT REDIRECT totoports portports port和和iptablesiptables t t natnat A A OUTPUT OUTPUT o o outgoing interfacej j REDIRECT REDIRECT totoports ports

31、portportREDIRECTREDIRECT重重定定向向数数据据包包到到执执行行REDIRECTREDIRECT操操作作的的那那台台主主机机。到到达达输输入入接接口口的的数数据据包包大大多多是是送送到到其其它它的的本本地地主主机机的的。另另一一个个情情况况可可能能是是数数据据包包是是发发往往一一个个特特定定的的本本地地服服务务端端口口的的，并并且且数数据据包包被被透透明明地地重重定向到主机上一个不同的端口。定向到主机上一个不同的端口。5.NAT客户端的配置（1 1）LinuxLinux中中NATNAT客户端的配置客户端的配置编编 辑辑 文文 件件/etc/etc/sysconfigsysc

32、onfig/network/network，使使 用用GATEWAYGATEWAY选项指定默认网关的选项指定默认网关的IPIP地址。地址。编编辑辑文文件件/etc/etc/resolv.confresolv.conf，使使用用nameservernameserver选选项项指指定定DNSDNS服服务务器器的的IPIP地地址址，可可以以指指定定多多台台DNSDNS服服务务器器IPIP地地址址，但但只只有有前前3 3台台是是有有效效的的。客客户户端端将将按按顺顺序序查询查询DNSDNS服务器。服务器。（2 2）Windows 2000/XP/2003Windows 2000/XP/2003中中NA

33、TNAT客户端的配置客户端的配置Windows2000/XP/2003Windows2000/XP/2003中配置中配置NATNAT客户端也很客户端也很简单，只需要按上面一样的要求配置默认网关简单，只需要按上面一样的要求配置默认网关（NATNAT服务器的服务器的IPIP地址）和地址）和DNSDNS服务器服务器IPIP地址就可以地址就可以了。了。四、小结四、小结本章主要内容:(1)(1)防火墙工作的基本原理防火墙工作的基本原理(2)iptables(2)iptables的基本概念的基本概念(3)iptables(3)iptables建立建立NATNAT服务器及配置服务器及配置NATNAT服务器服务器