iptables訪問外網
1. linux中iptables防火牆怎麼設置
一,安裝並啟動防火牆
[root@linux ~]# /etc/init.d/iptables start
當我們用iptables添加規則,保存後,這些規則以文件的形勢存在磁碟上的,以CentOS為例,文件地址是/etc/sysconfig/iptables,我們可以通過命令的方式去添加,修改,刪除規則,也可以直接修改/etc/sysconfig/iptables這個文件就行了。
1.載入模塊
/sbin/modprobe ip_tables
2.查看規則
iptables -L -n -v
3.設置規則
#清除已經存在的規則
iptables -F
iptables -X
iptables -Z
#默認拒絕策略(盡量不要這樣設置,雖然這樣配置安全性高,但同時會拒絕包括lo環路在內的所#有網路介面,導致出現其他問題。建議只在外網介面上做相應的配置)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 規則
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地還回及tcp握手處理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#www-dns 規則
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 規則
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二,添加防火牆規則
1,添加filter表
1.[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //開放21埠
出口我都是開放的iptables -P OUTPUT ACCEPT,所以出口就沒必要在去開放埠了。
2,添加nat表
1.[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
將源地址是 192.168.10.0/24 的數據包進行地址偽裝
3,-A默認是插入到尾部的,可以-I來插入到指定位置
1.[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.[root@linux ~]# iptables -L -n --line-number
3.Chain INPUT (policy DROP)
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默認插到最後
13.Chain FORWARD (policy ACCEPT)
14.num target prot opt source destination
15.Chain OUTPUT (policy ACCEPT)
16.num target prot opt source destination
三,查下iptable規則
1,查看filter表
1.[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以顯示規則序號,在刪除的時候比較方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的話,默認就是filter表,查看,添加,刪除都是的
2,查看nat表
1.[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四,修改規則
1.[root@linux ~]# iptables -R INPUT 3 -j DROP //將規則3改成DROP
五,刪除iptables規則
1.[root@linux ~]# iptables -D INPUT 3 //刪除input的第3條規則
2.[root@linux ~]# iptables -t nat -D POSTROUTING 1 //刪除nat表中postrouting的第一條規則
3.[root@linux ~]# iptables -F INPUT //清空 filter表INPUT所有規則
4.[root@linux ~]# iptables -F //清空所有規則
5.[root@linux ~]# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有規則
六,設置默認規則
1.[root@linux ~]# iptables -P INPUT DROP //設置filter表INPUT默認規則是 DROP
所有添加,刪除,修改後都要保存起來,/etc/init.d/iptables save.上面只是一些最基本的操作,要想靈活運用,還要一定時間的實際操作。
iptables配置常規映射及軟路由
作用:虛擬化雲平台伺服器網段192.168.1.0/24 通過一台linux伺服器(eth0:192.168.1.1、eth1:10.0.0.5)做軟路由達到訪問10.0.0.5能訪問的網路范圍,並且通過iptables的NAT映射提供服務。
NAT 映射網路埠:
效果: 10.0.0.5:2222 —-》 192.168.1.2:22
命令:iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意:1.在192.168.1.2的網路配置上需要將NAT主機的內網ip即192.168.1.1作為默認網關,如果10.0.0.5具有公網訪問許可權,dns則設置成公網對應dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主機上需要開啟轉發才能生效
軟路由192.168.1.0/24通過10.0.0.5訪問外網:
命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart
2. iptables允許指定IP訪問內網,其它全部拒絕,允許內網訪問全部外網,請大蝦幫忙寫出完整命令行,謝謝
# 內網網口
lan_if=eth0
# 外網網口
wan_if=cloudbr0
wan_vip_ip="192.168.1.102/24 192.168.10.0/24" #外網可以訪問內網的IP或IP網段,如果沒有,可以為""。
# 特定外網IP可以訪問內網,其餘外網IP不能訪問內網
for vip_ip in $wan_vip_ip; do
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
done
iptables -A FORWARD -i $wan_if -o $lan_if -j DROP
# 內網可以訪問外網
iptables -A FORWARD -i $lan_if -o $wan_ip -j ACCEPT
3. Linux下的iptable實現nat網關。(DNS,DHCP,外網,內部區域網)
本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。需要申明的是,本文絕對不是 NAT-HOWTO的簡單重復或是中文版,在整個的敘述過程中,作者都在試圖用自己的語言來表達自己的理解,自己的思想。
一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中,所有的路由器僅僅是充當一個中間人的角色,也就是通常所說的存儲轉發,路由器並不會對轉發的數據包進行修改,更為確切的說,除了將源MAC地址換成自己的MAC地址以外,路由器不會對轉發的數據包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息,這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址,然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧,因為只有一個合法的IP地址,必須採用某種手段讓其他機器也可以上網,通常是採用代理伺服器的方式,但是代理伺服器,尤其是應用層代理伺服器,只能支持有限的協議,如果過了一段時間後又有新的服務出來,則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題,
因為是在應用層以下進行處理,NAT不但可以獲得很高的訪問速度,而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向,也就是當接收到一個包後,不是轉發這個包,而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理,在對http流量進行緩存的同時,可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種類型,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉發數據包的源地址,所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過,netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter",所以在使用filter功能時,我們沒有必要顯式的指明"-t filter"。
同filter表一樣,nat表也有三條預設的"鏈"(chains),這三條鏈也是規則的容器,它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則,因為路由器進行路由時只檢查數據包的目的ip地址,所以為了使數據包得以正確路由,我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則,系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。
三、操作語法
如前所述,在使用iptables的NAT功能時,我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過——source/——src/-s來指定源地址(這里的/表示或者的意思,下同),通過——destination/——dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名,如「www.linuxaid.com.cn」;
b. 使用ip地址,如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址,如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址,如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數,這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用——in-interface/-i或——out-interface/-o來指定網路介面。從NAT的原理可以看出,對於PREROUTING鏈,我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過——protocol/-p選項來指定協議,如果是udp和tcp協議,還可——source-port/——sport和 ——destination-port/——dport來指明埠。
四、准備工作
1. 編譯內核,編譯時選中以下選項,具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時,必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如,更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT ——to 1.2.3.4
這里需要注意的是,系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號上網的時候使用,或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出,這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如,更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT ——to 1.2.3.4
這里需要注意的是,系統是先進行DNAT,然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用,假設squid的監聽埠是3128,我 們可以通過以下語句來將來自192.168.1.0/24,目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 ——dport 80
-j REDIRECT ——to-port 3128
六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網,通常可能使用代理,但是考慮到成本、對協議的支持等因素,建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables,然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址,然後通過ip映射使發給其中某一 個IP地址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面,以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables,然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先,對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT ——to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT ——to 192.168.1.200
其次,對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT ——to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT ——to 202.110.123.200
這樣,所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200,從而也就實現了ip映射。
4. 配置可訪問外網靜態IP(一)關閉防火牆
想讓自己的虛擬機連接到網路,要對其進行配置靜態IP,首先需要將主機和虛擬機的防火牆關閉,下面提供關閉防火牆的一些方法。
一、關閉Windows防火牆
部分電腦進入"防火牆和網路保護"後,提示"無需執行任何操作",下面以另一種方式關閉防火牆:
1.直接在開始菜單欄搜索"防火牆",找到"Windows Defender 防火牆"並打開;
2.點擊"更改通知設置"將"自定義的網路設置"關閉防火牆;
3.或者點擊"高級設置"將防火牆關閉。
二、關閉CentOS防火牆
1.直接在虛擬機"terminal"命令窗口輸入以下命令即可:
#service iptables stop
# chkconfig iptables off
2.若出現問題,按以下方式關閉:
①輸入命令:systemctl status firewalld.service 查看防火牆狀態,此時顯示ative(running)綠色開啟狀態
②輸入命令:systemctl stop firewalld.service 關閉防火牆
③再次執行①查看,顯示inactive(dead) 關閉成功
④輸入命令:systemctl disable firewalld.service 永久關閉防火牆
上面操作就把兩個主機和虛擬機的防火牆都成功關閉了。
已同步至: 配置可訪問外網靜態IP_comer_liu的博客-CSDN博客
5. LINUX iptables限制IP訪問
iptables在INPUT鏈添加規則即可,出站流量(伺服器訪問外網)不受影響,包括訪問出去然後回來的數據包
註:INPUT(數據包流入口),INPUT鏈默認是拒絕所有,所以添加允許規則即可
例1,允許IP192.168.2.1的IP可以全埠訪問我的伺服器
iptables-AINPUT-s192.168.2.1/32-jACCEPT
例2,允許IP192.168.2.2的IP可以訪問我伺服器的80埠
iptables-AINPUT-s192.168.2.2/32-ptcp-mtcp--dport80-jACCEPT
你可以把你現有規則貼出來,默認情況下出站流量回包是不會攔截的