LVS iptables wrapper xinetd 等在 CentOS上

TCPwrapper 和xinetd都是用于控制外部对于本机service访问的，首先是wrapper判断一个包是否允许，相应允许或丢弃包。 xinetd也是wrapper要判断的service之一，如果允许再交给xinet来判断。好像有点重复了？

hosts.allow和hosts.deny是wrapper的规则表，顺序是先读allow文件再度deny文件，如果发现一个匹配就算判断完成，而且，文件末尾不像cisco有一个deny all all的隐含规则，wrapper默认允许所有的包。

用iptables做NAT服务

最近装了ESXi，主要还是用虚拟机做实验。 因为发现ESXi没有自身的NAT功能，于是就用了一个CentOS虚拟机提供NAT服务。

参照了howtoforge上面的文章，发现本身并不复杂，但是几个基本概念必须搞清，不然看的就不太明白。

最重要的也就是这么两步：

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --append FORWARD --in-interface eth1 -j ACCEPT

这里eth0是外部接口，eth1是内部接口。

然后把/proc/sys/net/ipv4/ip_forward内容改为1 就可以了。  这之前当然还要查一查iptables的规则，看看是否有和NAT规则冲突的，就把它改掉。

howtoforge网站没有对此做什么解释，所以设置好了也只是知其然不知其所以然。 后来查了文档，原来iptables规则中有三个表， filter,nat,mangle， 默认都是在filter表上操作，所以平时一般的规则修改不怎么用到nat表和mangle 表，也不会用到 -- table 选项，难怪一开始看到howtoforge的文章会感到没有头绪。

在Linux nat中，被转发的包实际经过了以下几个 表-链 的组合

1.  mangle  -- PREROUTING

2. nat -- PREROUTING                ；用于外部访问内部网站的NAT

3. mangle -- FORWARD

4. filter -- FORWARD

5. mangle -- POSTROUTING

6. nat - POSTROUTING               ；用于内部浏览外部的NAT

一般来说都是在 filter -- FORWARD 和 nat -- POSTROUTING 这两个组合中作规则的设定。所以在这里设置用eth0作为出口路由，对于进入eth1的转发包一律允许，当然也可以结合具体情况做一些过滤。

centOS本身的system-config-securitylevel工具不适合做这种配置，修改了nat以后也不要再用这个工具来检查配置了， 好像是无法识别的。

filter 表里面有3个chain，FORWARD， INPUT和 OUTPUT。

iptables的常见选项：

-p 指定协议  -s 指定源地址 -d 指定目的地址 -i 指定入接口  -o 指定出接口

-p 指定协议后，可接着用 --sport  --dport 指定端口号 --syn 表示syn 包后面可接 -m limit --limit n/s 来限定每秒SYN数量。

扩展选项：

-m multiport --sports <p ,p>  端口号同逗号分隔，不一定是连续的

-m mulitport --dports <p, p>

-m multiport --ports <p, p>

-m --state <state>  状态可以是 ESTABLISHED  NEW  RELATED INVALID 等

如果要让外部访问内部的某一个服务器如Web 服务器：

iptables -t nat -A PREROUTING -p tcp -i eth0  -d 外部ip --dport 80 --sport 1024:65535 -j DNAT --to 10.1.1.x:8080

iptables -A FORWARD -p tcp -i eth0 -o eth1 -d  10.1.1.x --dport 8080 --sport 1024:65535 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

LVS做NAT服务，这里我只做了简单的双机NAT设置，把对外的一个虚拟公网IP重定向到内部的web服务器群。  基本上只要piranha上面配置好，sysctl里面ipforward置1，然后iptables里面要加

iptables -I FORWARD -i eth1 -s 内部IP范围 -j ACCEPT

iptables -I INPUT 允许80端口进入，为了性能就不要检查是不是NEW的了

这样就能让外面的访问到web服务器。  iptables不加的话是不行的，但是好像红帽的文档里没有提。