【文章內容簡介】 任務 143 iptables命令的基本使用 第 32 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ?命令 2： iptablessave 將配置信息顯示到標準輸出 （ 屏幕 ） 中 ?命令 3： iptablessave 路徑 /文件名 將顯示到標準輸出（屏幕）中的當前正在運行的防火墻規(guī)則配置信息重定向保存到指定目錄的指定文件中。 service iptables save命令等效于 iptablessave /etc/sysconfig/iptables命令；使用 iptablessave命令可以將多個版本的配置保存到不同的文件中。 iptablessave /etc/sysconfig/ service iptables save 將當前運行的防火墻規(guī)則先后保存到用戶指定的配置文件和系統(tǒng)默認的配置文件。 任務 143 iptables命令的基本使用 第 33 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ②恢復防火墻規(guī)則 ?命令： iptablesrestore 路徑 /文件名 功能： 將使用 iptablessave保存的規(guī)則文件中的規(guī)則恢復到當前系統(tǒng)中。 iptablesrestore命令可恢復不同版本的防火墻配置文件。 iptablessave /etc/sysconfig/iptables service iptables restart 任務 143 iptables命令的基本使用 第 34 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ? 禁止某機 （物理機） Ping防火墻所在主機 （虛擬機） service iptables start 啟動防火墻 iptables F 清空所有規(guī)則 iptables A INPUT p icmp s j DROP ?禁止除某機以外的其他主機 Ping防火墻所在的主機 iptables D INPUT 1 iptables A INPUT p icmp s ! j DROP ?禁止本網(wǎng)段以外的主機 ping本機 iptables D INPUT 1 iptables A INPUT s ! ?禁止所有人 Ping本機 iptables D INPUT 1 iptables A INPUT p icmp j DROP 實例 1——管理 icmp 任務 143 iptables命令的基本使用 第 35 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 實例 2——設置遠程登錄限制 ?初始化： iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP iptables –F iptables –X ?僅允許某機 ssh連接防火墻 iptables A INPUT s p tcp dport 22 j ACCEPT iptables A OUTPUT d p tcp sport 22 j DROP 任務 143 iptables命令的基本使用 第 36 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 實例 3 ?作為專門 WEB服務器終端的配置 ， 清除任何以前配置的規(guī)則 ?iptables F //清除 filter規(guī)則表中的所有規(guī)則 ?iptables X //清除 filter規(guī)則表中的自定義規(guī)則鏈 ?iptables Z //將指定表中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零 ?iptables A INPUT p tcp d +60 dport 22 j ACCEPT ?iptables A OUTPUT p tcp s +60 sport 22 j ACCEPT 任務 143 iptables命令的基本使用 第 37 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 3. 把所有默認策略設置為 DROP ?iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP 4. 讓本機的回環(huán)設備可以使用 ?iptables I INPUT 1 i lo p all j ACCEPT ?iptables I OUTPUT 1 o lo j ACCEPT 沒有上述兩條規(guī)則時，系統(tǒng)啟動會卡住 80端口訪問 WEB服務器 ?iptables A INPUT p tcp sport 80 j ACCEPT ? iptables A OUTPUT p tcp dport 80 j ACCEPT 6. 使防火墻能夠解析進出來的包 ?iptables A INPUT p udp sport 53 j ACCEPT ?iptables A OUTPUT p udp dport 53 j ACCEPT ?service iptables save 任務 143 iptables命令的基本使用 第 38 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ?請在啟動 linux系統(tǒng)之前添加第二塊網(wǎng)卡 第 1步 ：啟動虛擬機軟件 第 2步 ：添加第二塊網(wǎng)卡 在虛擬機軟件菜單上點擊“虛擬機” → “設置” →點擊”添加” → 點擊“網(wǎng)絡適配器” → 點擊“下一步” → 選擇“網(wǎng)橋” → 點擊“完成” → ”確定” 第 3步 ：啟動 RHEL5 第 4步 ：配置 IP地址 第一塊網(wǎng)卡 eth0： +60 第二塊網(wǎng)卡 eth1： . 其中： X——為物理機網(wǎng)卡 IP地址的第 4段 任務 143 iptables命令的基本使用 第 39 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 任務 144 使用 iptables實現(xiàn) NAT服務 公網(wǎng)地址與私網(wǎng)地址 ?IP地址的分配與管理由 ICANN管理機構負責，公網(wǎng)地址必須經(jīng)申請后才能合法使用。 ?為解決 IP地址資源緊缺問題， IANA機構將 IP地址劃分了一部分出來，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內使用，不同局域網(wǎng)可重復使用。 ?可使用的私網(wǎng)地址有： 一個 A類地址： 16個 B類地址： ~256個 C類地址： 。 第 40 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 1． NAT服務的概念及分類 ?為了解決使用私網(wǎng)地址的局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡地址轉換（ NAT）技術。 ?NAT（ Network AddressTranslation，網(wǎng)絡地址轉換）是一種用另一個地址來替換 IP數(shù)據(jù)包頭部中的源地址或目的地址的技術。 ?通過網(wǎng)絡地址轉換操作，局域網(wǎng)用戶就能透明地訪問因特網(wǎng)，通過配置靜態(tài)地址轉換，位于因特網(wǎng)中的主機還能實現(xiàn)對局域網(wǎng)內特定主機的訪問。 任務 144 使用 iptables實現(xiàn) NAT服務 第 41 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ?目前幾乎所有防火墻的軟硬件產(chǎn)品都集成了 NAT功能， iptables也不例外。 ?根據(jù) NAT替換數(shù)據(jù)包頭部中地址的不同， NAT分為 源地址轉換 SNAT（ IP偽裝） 目的地址轉換 DNAT兩大類。 任務 144 使用 iptables實現(xiàn) NAT服務 第 42 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 SNAT策略的原理 ?未使用 SNAT策略時的情況 源地址： 目標地址： HTTP請求 HTTP請求 HTTP應答 源地址： 目標地址： 源地址： 目標地址： eth0: Inter中的 Web服務器 無法正確路由 路 由 轉 發(fā) 局 域網(wǎng)客戶端 eth1: Linux網(wǎng)關服務器 任務 144 使用 iptables實現(xiàn) NAT服務 第 43 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 SNAT策略的原理 ?在網(wǎng)關中使用 SNAT策略以后 源地址： 目標地址： HTTP請求 HTTP應答 源地址： 目標地址： 源地址： 目標地址： Linux網(wǎng)關服務器 Inter中的 Web服務器 SNAT 轉換 局域網(wǎng)客戶端 源地址： 目標地址： HTTP請求 eth1: eth0: 任務 144 使用 iptables實現(xiàn) NAT服務 第 44 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ?局域網(wǎng)用戶的訪問請求報文中的源地址是私網(wǎng)地址，報文在進入因特網(wǎng)后，將被因特網(wǎng)中的路由器丟棄。 ?利用網(wǎng)絡地址轉換技術，在報文離開局域網(wǎng)的邊界路由器進入因特網(wǎng)之前，對報文中的源地址進行替換修改，將其替換修改為某一個合法的公網(wǎng)地址，這樣報文就能在因特網(wǎng)中被正常路由和轉發(fā)了，訪問就會獲得成功。 ?這種對報文中的源地址或目的地址進行替換修改的操作，就稱為網(wǎng)絡地址轉換。 任務 144 使用 iptables實現(xiàn) NAT服務 第 45 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 ?2. 使用 SNAT實現(xiàn)使用私網(wǎng) IP的多臺主機共享上網(wǎng) 為落實上述 SNAT技術的結果 ,要在 NAT服務器上完成以下兩個操作 : 任務 144 使用 iptables實現(xiàn) NAT服務 第 46 頁 Linux系統(tǒng)管理與網(wǎng)絡服務 2023年 2月 9日星期四 步驟 1：開啟 Linux內核 IP報文轉發(fā)功能 ?允許 NAT服務器上的 eth0和 eth1兩塊網(wǎng)卡之間能相互轉發(fā)數(shù)據(jù)包。其開啟方法為： 方法 1： 編輯 /etc/ 將“ =0”配置項 修改為： =1 sysctl p /etc/ 方法 2：執(zhí)行命令： echo 1 /proc/sys//ipv4/ip_forward sysctl p /etc/ 使 任務 144 使用 iptables實現(xiàn) NAT服務 第 47 頁 Linux系統(tǒng)管理與網(wǎng)絡服