千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

iptables实现网络防火墙功能,SNAT以及DNAT功能

发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,iptables实现网络防火墙功能,SNAT以及DNAT功能一、网络防火墙的实现 1.环境准备: 虚拟机vmware workstation 11 系统CentO
千家信息网最后更新 2025年12月01日iptables实现网络防火墙功能,SNAT以及DNAT功能

iptables实现网络防火墙功能,SNAT以及DNAT功能

一、网络防火墙的实现

 1.环境准备:
           虚拟机vmware workstation 11
          系统CentOS 7.3
                软件包安装:yum install httpd vsftpd tcpdump
  2.前提条件
            2.1各主机正确设置IP地址/子网掩码
                 参考设置:
                      主机A 网卡ens33:10.0.0.110/24 内网客户端 
                  主机B 网卡ens33:10.0.0.111/24 ens37:172.16.252.52/24 网关服务器
                    主机C 网卡ens33:172.16.254.52/24 外网服务端 
               2.2各主机正确设置网关地址
              参考设置:
                      主机A添加默认路由信息
                               route add default gw 10.0.0.111 
                  主机C添加路由信息
                         route add -net 10.0.0.0/24 gw 172.16.252.52
       3.推荐实现步骤
          开启路由转发功能
          在filter表中的FORWARD链中实现
     4.要注意的问题
          1.请求和响应均会经过FORWARD链,要注意规则的方向性
             2.如果要启用conntrack机制,建议双方向的状态为ESTABLISHED的报文直接放行通过
          3.配置规则时可使用tcpdump抓包分析数据报文

步骤:

1.主机A添加默认路由信息    route add default gw 10.0.0.111     route -n2.主机B开启核心转发功能    sysctl -w net.ipv4.ip_forward=13.tcpdump抓包测试数据    主机A:ping 172.16.254.52     主机B抓包:tcpdump -i ens33 -nn icmp    测试结果:有10.0.0.110到172.16.254.52的请求报文信息,但没有回应报文信息4.主机C使用tcpdump抓包测试数据    tcpdump -i ens33 -nn icmp    测试结果:有回应报文信息,但回应报文信息发往给其他主机,因此要设定网关信息5.主机C添加路由信息    route add -net 10.0.0.0/24 gw 172.16.252.52    route -n6.主机A ping请求测试    ping 172.16.254.52    测试结果:ping通7.主机C启动httpd服务        systemctl start httpd.service8.主机A访问主机C的web页面        curl http://172.16.254.52 #此时应该正常显式页面内容

在上面的基础上搭建网络防火墙

方式一:9.拒绝所有转发服务        iptables -A FORWARD -j REJECT10.添加链规则:允许本地主机A访问外网主机C的80端口的服务        iptables -I FORWARD -s 10.0.0.0/24 -p tcp --dport 80 -j ACCEPT11.添加链规则:允许外网主机C的80端口http服务响应本机        iptables -I FORWARD 2 -d 10.0.0.0/24 -p tcp --sport 80 -j ACCEPT12.主机A测试能否访问主机C的web页面        curl http://172.16.254.52#此时应该正常显式页面内容方式二:9.拒绝所有转发服务        iptables -A FORWARD -j REJECT10.放行所有建立连接的数据报文        iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT11.新建一条链规则允许本地主机A访问外网主机C        iptables -I FORWARD 2 -s 10.0.0.0/24 -m state --state NEW -j ACCEPT12.主机A测试        curl http://172.16.254.52 #此时应该正常显式页面内容13.添加链规则:允许外网主机C访问本地主机A的80端口的http服务        iptables -I FORWARD 3 -d 10.0.0.110 -p tcp --dport 80 -m state --state NEW -j ACCEPT 14.主机C测试        curl http://10.0.0.110 #此时应该正常显式页面内容15.添加链规则:允许本机主机A开放更多端口的服务        iptables -R FORWARD 3 -d 10.0.0.110 -p tcp -m multiport --dport 21:23,80 -m state --state NEW -j ACCEPT16.加载FTP模块(两种方式)        1.modprobe nf_conntrack_ftp        2.vi /etc/sysconfig/iptables-config         IPTABLES_MODULES="nf_conntrack_ftp"17.建立FTP访问链规则,开放FTP被动模式        iptables -A FORWARD -d 10.0.0.110 -p tcp -m state --state RELATED -j ACCEPT18.主机C测试        lftp 10.0.0.110        ssh root@10.0.0.110        curl http://10.0.0.110 #此时测试应该都能正常获取信息

二、SNAT转发功能实现

      前提条件
              各主机正确设置IP地址/子网掩码
            参考设置:
                      主机A 网卡ens33:10.0.0.110/24 内网客户端
                   主机B 网卡ens33:10.0.0.111/24 ens37:172.16.252.52/24 网关服务器
                    主机C 网卡ens33:172.16.254.52/24 外网服务器
                各主机正确设置网关地址
                 参考设置:
                      主机A添加默认路由信息
                               route add default gw 10.0.0.111 
                  主机C添加路由信息
                         route add -net 10.0.0.0/24 gw 172.16.252.52
       推荐实现步骤
            1. 开启网关主机的路由转发功能
                  主机B开启核心转发功能
                               sysctl -w net.ipv4.ip_forward=1
           2. 添加使用SNAT策略的防火墙规则
                       规则示例
                              iptables -t nat -I POSTROUTING -j SNAT --to-source 172.16.252.52

            3.验证SNAT结果
                        主机A curl http://172.16.254.52
                     主机C tail -f /var/log/httpd/access_log #查看到的ip地址应该为主机B的公网地址

三、DNAT转发功能的实现


         前提条件
             各主机正确设置IP地址/子网掩码
            参考设置:
                      主机A 网卡ens33:10.0.0.110/24 内网服务器
                   主机B 网卡ens33:10.0.0.111/24 ens37:172.16.252.52/24,网关服务器
                    主机C 网卡ens33:172.16.254.52/24 外网客户端 
               各主机正确设置网关地址
                 参考设置:
                      主机A添加默认路由信息
                               route add default gw 10.0.0.111 
                  主机C添加路由信息
                         route add -net 10.0.0.0/24 gw 172.16.252.52
       推荐实现步骤
            1. 开启网关主机的路由转发功能
                  主机B开启核心转发功能
                               sysctl -w net.ipv4.ip_forward=1
           2. 添加使用SNAT策略的防火墙规则
                       规则示例
                               iptables -t nat -I PREROUTING  -d 172.16.252.52 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.110
               3.验证DNAT结果(主机C访问主机B的公网地址显式的内应该为主机A的web内容)
                 主机C curl http://172.16.252.52
                     主机A tail -f /var/log/httpd/access_log #查看到的ip地址应该为外网主机C的地址
很赞哦!
主机 信息 服务 规则 地址 路由 测试 功能 网关 网卡 报文 页面 参考 防火墙 防火 内容 服务器 结果 数据 步骤 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 武汉java软件开发报价 网络安全威胁和风险国家层面 天支网络技术有限公司 电话 电脑上的软件开发用什么工具 第三方网络安全检测公司排名 服务器如何提升用户体验 北信源网络安全产业园 深圳搜搜网络技术公司 软件开发流程 维护 服务器无法开机可能是什么原因 行政单位网络安全总结 服务器pcba测试 wcf远程数据库访问 苹果管理软件开发商 免费白嫖的服务器 无法连接至服务器未知的主机 服务器系统连接不上 企业网络安全配置服务器 登陆的jsp有数据库 服务器远程登录安全组 堡垒机与网络安全准入系统区别 软件开发平台和工具 fg数据库 数据库如何取消分页 广东省信息网络安全协会 网络安全红蓝对抗思路 多点软件开发商 网络安全教育3分钟演讲稿 手工网络安全教育 兰州佳桥通信网络技术有限公司

相关文章

0