【文章內(nèi)容簡介】 前系統(tǒng)中。 iptablesrestore命令可恢復不同版本的防火墻配置文件。 iptablessave /etc/sysconfig/iptables service iptables restart 任務 143 iptables命令的基本使用 第 34 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 ? 禁止某機 （物理機） Ping防火墻所在主機 （虛擬機） service iptables start 啟動防火墻 iptables F 清空所有規(guī)則 iptables A INPUT p icmp s j DROP ?禁止除某機以外的其他主機 Ping防火墻所在的主機 iptables D INPUT 1 iptables A INPUT p icmp s ! j DROP ?禁止本網(wǎng)段以外的主機 ping本機 iptables D INPUT 1 iptables A INPUT s ! ?禁止所有人 Ping本機 iptables D INPUT 1 iptables A INPUT p icmp j DROP 實例 1——管理 icmp 任務 143 iptables命令的基本使用 第 35 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 實例 2——設(shè)置遠程登錄限制 ?初始化： iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP iptables –F iptables –X ?僅允許某機 ssh連接防火墻 iptables A INPUT s p tcp dport 22 j ACCEPT iptables A OUTPUT d p tcp sport 22 j DROP 任務 143 iptables命令的基本使用 第 36 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 實例 3 ?作為專門 WEB服務器終端的配置 ， 清除任何以前配置的規(guī)則 ?iptables F //清除 filter規(guī)則表中的所有規(guī)則 ?iptables X //清除 filter規(guī)則表中的自定義規(guī)則鏈 ?iptables Z //將指定表中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零 ?iptables A INPUT p tcp d +60 dport 22 j ACCEPT ?iptables A OUTPUT p tcp s +60 sport 22 j ACCEPT 任務 143 iptables命令的基本使用 第 37 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 3. 把所有默認策略設(shè)置為 DROP ?iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP 4. 讓本機的回環(huán)設(shè)備可以使用 ?iptables I INPUT 1 i lo p all j ACCEPT ?iptables I OUTPUT 1 o lo j ACCEPT 沒有上述兩條規(guī)則時，系統(tǒng)啟動會卡住 80端口訪問 WEB服務器 ?iptables A INPUT p tcp sport 80 j ACCEPT ? iptables A OUTPUT p tcp dport 80 j ACCEPT 6. 使防火墻能夠解析進出來的包 ?iptables A INPUT p udp sport 53 j ACCEPT ?iptables A OUTPUT p udp dport 53 j ACCEPT ?service iptables save 任務 143 iptables命令的基本使用 第 38 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 ?請在啟動 linux系統(tǒng)之前添加第二塊網(wǎng)卡 第 1步 ：啟動虛擬機軟件 第 2步 ：添加第二塊網(wǎng)卡 在虛擬機軟件菜單上點擊“虛擬機” → “設(shè)置” →點擊”添加” → 點擊“網(wǎng)絡適配器” → 點擊“下一步” → 選擇“網(wǎng)橋” → 點擊“完成” → ”確定” 第 3步 ：啟動 RHEL5 第 4步 ：配置 IP地址 第一塊網(wǎng)卡 eth0： +60 第二塊網(wǎng)卡 eth1： . 其中： X——為物理機網(wǎng)卡 IP地址的第 4段 任務 143 iptables命令的基本使用 第 39 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 任務 144 使用 iptables實現(xiàn) NAT服務 公網(wǎng)地址與私網(wǎng)地址 ? IP地址的分配與管理由 ICANN管理機構(gòu)負責，公網(wǎng)地址必須經(jīng)申請后才能合法使用。 ?為解決 IP地址資源緊缺問題， IANA機構(gòu)將 IP地址劃分了一部分出來，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內(nèi)使用，不同局域網(wǎng)可重復使用。 ?可使用的私網(wǎng)地址有： 一個 A類地址： 16個 B類地址： ~256個 C類地址： 。 第 40 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 1． NAT服務的概念及分類 ?為了解決使用私網(wǎng)地址的局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡地址轉(zhuǎn)換（ NAT）技術(shù)。 ? NAT（ Network AddressTranslation，網(wǎng)絡地址轉(zhuǎn)換）是一種用另一個地址來替換 IP數(shù)據(jù)包頭部中的源地址或目的地址的技術(shù)。 ?通過網(wǎng)絡地址轉(zhuǎn)換操作，局域網(wǎng)用戶就能透明地訪問因特網(wǎng)，通過配置靜態(tài)地址轉(zhuǎn)換，位于因特網(wǎng)中的主機還能實現(xiàn)對局域網(wǎng)內(nèi)特定主機的訪問。 任務 144 使用 iptables實現(xiàn) NAT服務 第 41 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 ?目前幾乎所有防火墻的軟硬件產(chǎn)品都集成了 NAT功能， iptables也不例外。 ?根據(jù) NAT替換數(shù)據(jù)包頭部中地址的不同， NAT分為 源地址轉(zhuǎn)換 SNAT（ IP偽裝） 目的地址轉(zhuǎn)換 DNAT兩大類。 任務 144 使用 iptables實現(xiàn) NAT服務 第 42 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 SNAT策略的原理 ?未使用 SNAT策略時的情況 源地址： 目標地址： HTTP請求 HTTP請求 HTTP應答 源地址： 目標地址： 源地址： 目標地址： eth0: Inter中的 Web服務器 無法正確路由 路 由 轉(zhuǎn) 發(fā) 局 域網(wǎng)客戶端 eth1: Linux網(wǎng)關(guān)服務器 任務 144 使用 iptables實現(xiàn) NAT服務 第 43 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 SNAT策略的原理 ?在網(wǎng)關(guān)中使用 SNAT策略以后 源地址： 目標地址： HTTP請求 HTTP應答 源地址： 目標地址： 源地址： 目標地址： Linux網(wǎng)關(guān)服務器 Inter中的 Web服務器 SNAT 轉(zhuǎn)換 局域網(wǎng)客戶端 源地址： 目標地址： HTTP請求 eth1: eth0: 任務 144 使用 iptables實現(xiàn) NAT服務 第 44 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 ?局域網(wǎng)用戶的訪問請求報文中的源地址是私網(wǎng)地址，報文在進入因特網(wǎng)后，將被因特網(wǎng)中的路由器丟棄。 ?利用網(wǎng)絡地址轉(zhuǎn)換技術(shù)，在報文離開局域網(wǎng)的邊界路由器進入因特網(wǎng)之前，對報文中的源地址進行替換修改，將其替換修改為某一個合法的公網(wǎng)地址，這樣報文就能在因特網(wǎng)中被正常路由和轉(zhuǎn)發(fā)了，訪問就會獲得成功。 ?這種對報文中的源地址或目的地址進行替換修改的操作，就稱為網(wǎng)絡地址轉(zhuǎn)換。 任務 144 使用 iptables實現(xiàn) NAT服務 第 45 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 ? 2. 使用 SNAT實現(xiàn)使用私網(wǎng) IP的多臺主機共享上網(wǎng) 為落實上述 SNAT技術(shù)的結(jié)果 ,要在 NAT服務器上完成以下兩個操作 : 任務 144 使用 iptables實現(xiàn) NAT服務 第 46 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 步驟 1：開啟 Linux內(nèi)核 IP報文轉(zhuǎn)發(fā)功能 ?允許 NAT服務器上的 eth0和 eth1兩塊網(wǎng)卡之間能相互轉(zhuǎn)發(fā)數(shù)據(jù)包。其開啟方法為： 方法 1： 編輯 /etc/ 將“ =0”配置項 修改為： =1 sysctl p /etc/ 方法 2：執(zhí)行命令： echo 1 /proc/sys//ipv4/ip_forward sysctl p /etc/ 使 任務 144 使用 iptables實現(xiàn) NAT服務 第 47 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 步驟 2： 添加使用 SNAT策略的防火墻規(guī)則 ?當 NAT服務器的外網(wǎng)接口配置的是固定的公網(wǎng) IP地址 iptables t nat A POSTROUTING s o eth0 j SNAT tosource +X ?當 NAT服務器通過 ADSL撥號方式連接 Inter，即外網(wǎng)接口獲取的是動態(tài)公網(wǎng) IP地址： iptables t nat A POSTROUTING s . o ppp0 j MASQUERADE 任務 144 使用 iptables實現(xiàn) NAT服務 第 48 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 DNAT策略的原理 ?在網(wǎng)關(guān)中使用 DNAT策略發(fā)布內(nèi)網(wǎng)服務器 源地址： 目標地址： HTTP請求 Inter中的 客戶機 Linux網(wǎng)關(guān)服務器 局域網(wǎng)內(nèi)的 Web服務器 HTTP應答 源地址： 目標地址： DNAT 轉(zhuǎn)換 HTTP請求 HTTP應答 源地址： 目標地址： 源地址： 目標地址： eth0： eth0： 任務 144 使用 iptables實現(xiàn) NAT服務 第 49 頁 Linux網(wǎng)絡操作系統(tǒng)配置與管理 2022年 6月 4日星期六 DNAT實現(xiàn)向公網(wǎng)發(fā)布私網(wǎng)的應用服務器 ?步驟 1： 確認已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能（方法同上） ?步驟 2： 添加使用 DNAT策略的防火墻規(guī)則。若發(fā)布的是 Web服務器，其命令如下： iptables t nat A PREROUTING