Iptables作网关时一种简单的NAT使用方式

原创
安全 网站安全
Iptables作网关NAT路由器,启动的是NAT的地址伪装功能SNAT/MASQUERADE,具体以公司NAT路由脚本/root/firewall.sh实例来说明。

【51CTO.com独家特稿】Iptables的基本语法(更好的理解后面的网关NAT脚本):

iptables [-t表名] <-A| I |D |R>  链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作 >

INPUT链:当一个数据包由内核中的路由计算确定为本地Linux系统后,它会通过INPUT链的检查。             

OUTPUT链:保留给系统自身生成的数据包。

FORWARD链:经过Linux系统路由的数据包(即当iptables防火墙用于连接两个网络,两个网络之间的数据包必须流经该防火墙)。

PREROUTING链:用于修改目的地地址(DNAT)。

POSTROUTING链:用于修改源地址(SNAT)。

◆转发和NAT的语义在iptables是独立的。转发数据包的功能是在filter表中通过使用FORWARD规则链来完成;而NAT功能是在nat通过使用PREROUTING、POSTROUTING规则链来完成。混淆这二个概念对它们的功能并没有影响,但现在记住它们的区别是很重要的。转发和NAT是二个不同的功能和技术;转发是一个路由功能,而NAT是在nat表中定义的一个转换功能。

Iptables作网关NAT路由器,启动的是NAT的地址伪装功能SNAT/MASQUERADE,具体以公司NAT路由脚本/root/firewall.sh实例来说明下:

此脚本实现功能如下:

①因为是绑定mac地址上网,企业内部客户机如绑定mac后可杜绝局域网内ARP病毒;

②对局域网内机器上网严格控制,每增加一台工作用机,就必须重新刷新NAT服务器的ip-mac对应关系;严格杜绝了公司外来用机上网问题(有的员工周末加班时喜欢带自己手提),在安全问题上做到防患于未然;

③配合NAT网关服务器的监控软件NTOP+iptraf,可以做到及时监控每台主机的流量情况,如发现流量异常可及时通知网管或行政处理;

④经工作实际使用发现,此脚本作NAT网关路由器时,可将公司10M电信光纤带宽发挥得极致,即一个员工用迅雷,整个公司均打不开网页。

⑤网关NAT服务器也适合做局域网的文件服务器,提供vsftpd,samba服务等;

⑥看过一些其它linux爱好者写过的脚本,感觉没此脚本精简方便;这里感谢3158.com技术总监唐老师提供技术性指导。

#!/bin/bash

#为了方便调试工作,将防火墙规则写成脚本形式方便调试。

echo "1" > /proc/sys/net/ipv4/ip_forward

arp -f /root/mac.txt

#以mac.txt文件定义的主机ip及mac地址来代替原有arp对应关系;每增加一台工作用机,就要重新运行一次此脚本。

#当iptables对filter nat mangle任意一表进行操作时,会自动加进iptable_nat模块;这个可以不写

modprobe iptable_nat

#加载状态检测机制,state模块时用到,这个必写

modprobe ip_conntrack

#ip_conntrack_ftp是本机做FTP时用到的,这个看你的网关NAT用不用FTP,我这里用到了所以写上了

modprobe ip_conntrack_ftp

#ip_nat_ftp是通过本机的FTP时需要用到的,这个我系统用到了。

modprobe ip_nat_ftp

#清除本网关的Filter、FORWARD、POSTROUTIG链的默认规则

iptables -F INPUT

iptables -F FORWARD

iptables -F POSTROUTING -t nat

#将FORWARD的默认策略设置为禁止一切(基于最安全原则考虑)

iptables -P FORWARD DROP

#客户机绑定mac地址才能上网,这样防止恶意增加IP在公司内部上网,引起不安全隐患。

cat /root/mac.txt | while read LINE

do       

ipad =`echo $LINE | awk '{print $1}'`      

macd =`echo $LINE | awk '{print $2}'`

iptables -A FORWARD -s $ipad -m mac --mac-source $macd -j ACCEPT

done

#网关上有几块网卡,eth0接的是外网IP地址,eth1、eth2等对应该局域网IP,因是租用了电信的光纤,不存在着ADSL上网情况。

iptables -A FORWARD -i eth1 -m state

--state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24

-j SNAT --to 59.195.233.234

/root/mac.txt部分内容如下:

192.168.1.50 00:16:D3:F6:BD:F5

192.168.1.57 00:16:36:B4:6C:5D

192.168.1.58 00:13:D3:20:04:12

192.168.1.59 00:1E:37:15:18:59

192.168.1.60 00:16:D3:5F:23:B7

192.168.1.65 00:E0:4C:01:1B:85

192.168.1.66 00:1E:37:15:18:59

192.168.1.67 00:E0:B1:B2:58:18

192.168.1.68 00:15:58:20:47:18

192.168.1.80 00:17:31:67:98:DA

192.168.1.88 00:E0:4C:01:1B:85

192.168.1.93 00:21:85:30:7F:DE

192.168.1.94 00:E2:1C:D1:60:41

192.168.1.97 00:13:D3:5E:2F:12

192.168.1.98 00:1D:0F:0F:CC:A2

192.168.1.99 00:19:DB:64:13:5A

......

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【编辑推荐】

  1. 绿盟科技WEB应用防火墙产品白皮书下载
  2. SQL注入及XSS攻击防御技术白皮书下载
  3. 拯救网站运维经理赵明有奖活动进行中
  4. 以色列终极反入侵武器:CHECK POINT软件刀片
  5. Linux系统Iptables规则执行顺序详解
  6. 如何用iptables实现NAT
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2011-03-16 09:05:53

NATiptables

2020-12-23 10:10:23

Pythonweb代码

2022-06-22 09:44:41

Python文件代码

2022-07-07 10:33:27

Python姿势代码

2020-12-09 10:15:34

Pythonweb代码

2011-03-16 09:05:29

iptablesNAT

2010-03-26 13:34:47

CentOS安装

2011-03-16 09:05:32

RedhatiptablesNAT

2022-02-25 14:42:09

OpenHarmon环境搭建鸿蒙

2011-03-15 16:26:46

iptablesnat

2017-07-18 09:59:28

NATHTTP Server方式

2011-02-25 13:52:18

Proftpd管理

2023-01-26 23:46:15

2011-02-25 13:52:18

Proftpd管理

2022-06-06 15:44:24

大数据数据分析思维模式

2012-02-01 10:18:23

编程

2017-01-06 09:25:47

2020-12-16 10:12:52

大数据小数据人工智能

2021-10-26 16:49:34

系统性能定位

2011-07-04 10:17:38

JDBC
点赞
收藏

51CTO技术栈公众号