题目要求
服务器RouterSrv上的工作任务
6. IPTABLES
添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的 dns、mail、web 和 ftp 服务;
INPUT、OUTPUT 和 FOREARD 链默认拒绝(DROP)所有流量通行;
配置源地址转换允许内部客户端能够访问互联网区域。
项目实施
地址欺骗 规则:
[root@routersrv ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE -o ens37
[root@routersrv ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE -o ens37SNAT 规则:
[root@routersrv ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to 81.6.63.254
[root@routersrv ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 81.6.63.254DNAT 规则:
[root@routersrv ~]# iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 --dport 53 -j DNAT --to 192.168.100.100
[root@routersrv ~]# iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 20,21,137,138,139,444,445,4500:5000 -j DNAT --to 192.168.100.200
[root@routersrv ~]#
默认拒绝和放行必要的流量:
[root@routersrv ~]# iptables -P OUTPUT DROP
[root@routersrv ~]# iptables -P INPUT DROP
[root@routersrv ~]# iptables -P FORWARD DROP配置 INPUT 链 和 FORWARD 链允许特定端口
[root@routersrv ~]# iptables -A INPUT -p tcp -m multiport --dports 2021,1194 -j ACCEPT
[root@routersrv ~]# iptables -A INPUT -p udp --dport 67 -j ACCEPT
[root@routersrv ~]#
[root@routersrv ~]# iptables -A FORWARD -p tcp -m multiport --dports 20,21,53,80,443,465,993 -j ACCEPT
[root@routersrv ~]# iptables -A FORWARD -p udp --dport 53 -j ACCEPT评分标准
(1)SNAT(在 routersrv 上执行指令:iptables -t nat -nvL POSTROUTING);【2 分】
评分要点: 存在源为 192.168.0.0/24 和 192.168.100.0/24 的 MASQUERADE 规则,其他参数不做评判标准。 |
(2)DNAT(在 routersrv 上执 行指令:iptables -t nat -nvL PREROUTING);【2 分】
评分要点: 存在目的地为 81.6.63.254 的 DNAT 规则,规则中至少需要存在 udp53,tcp53、tcp80、tcp443、tcp465、tcp993。 |
(3)默认链拒绝流量通行(在 routersrv 上执行指令:iptables -nL | grep Chain);【1 分】
评分要点: INPUT 、OUTPUT 和 FORWARD 链的默认规则为 DROP |
(4)放行必要流量(在 routersrv 上执行:iptables -nL);【2 分】
评分要点: INPUT 链至少需要放行 tcp2021 , tcp1194 , udp67 , 流量。 FORWARD 链至少需要放行 tcp 20,21,53,80,433,465,993 udp53 流量 |
