一、nat

之前网络防火墙的示例中,如果内网是私网地址,那么内网主机如何与外网通信呢?

这时候,iptables要实现内网和外网通信,有两种方式:



nat: Network Address Translation,安全性,网络层+传输层
  proxy: 代理,应用层



常见的nat有两种情形: 



SNAT: 只修改请求报文的源地址
DNAT:只修改请求报文的目标地址


nat表:



PREROUTTING: DNAT
OUTPUT
POSTROUTING: SNAT



实例:架构如下

iptables 策略路由 NAT iptable_nat_开发工具

 

中间一台主机当做连接内网和外网的接口,添加两块网卡,192.168.20.1作为内网网关,192.168.1.1为外网网关,内网中有台主(192.168.20.2)机指向内网网关(192.168.20.1)


具体步骤:
  中间主机: 添加一块自定义网卡,添加ip: # ip addr add 192.168.20.1/24
        打开转发功能: # vim /etc/sysctl.conf ==> net.ipv4.ip_forward=1 ==> sysctl -p
  内网主机: 添加ip并且指向内网网关: # ifconfig eth1 192.168.20.2/24 up; # route add default gw 192.168.20.1
  外网主机: 添加网络路由: # route add -net 192.168.20.0/24 gw 192.168.1.101
现在内外网主机可以互相ping通


接下来做一个基于DNAT的方式进行源地址转换:

1. 首先让外网启动web服务,并写一个简单的测试页面

2. 抓包测试:


外网主机: # tcpdump -i eth0 host 192.168.1.103
内网主机: # curl http://192.168.20.2
外网主机成功抓包: 说明内网主机可以和外网主机通信


3. 现在删掉刚才添加的外网主机的网络路由:


# route del -net 192.168.20.0/24


4. 写iptables规则实现snat转发


# iptables -t nat -A POSTROUTING -s 192.168.20.0/24 ! -d 192.168.20.0/24 -j SNAT --to-source 192.168.1.101


如果这个外网地址不是固定的,可以用MASQUERADE机制来地址伪装:
# iptables -t nat -A POSTROUTING -s 192.168.20.0/24 ! -d 192.168.20.0/24 -j MASQUERADE


6. 写iptables规则实现dnat转发


# iptables -t nat -A PREROUTING -d 192.168.1.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.20.2


再次测试,内网和外网可以通信,如果是端口映射,可以直接在ip后面指定[:PORT]

二、tcp_wrapper


tcp_wrapper: tcp包装器
  对基于tcp协议开发并提供服务的应用程序,提供的一层访问控制工具
  基于库调用实现其功能:libwrap


 判断服务是否能够由tcp_wrapper进行访问控制:


(1)动态编译: ldd命令
 (2)静态编译: strings命令查看应用程序文件,其结果中如果出现
      hosts.allow
      hosts.deny


 在配置文件中为各服务分别定义访问控制规则实现访问控制:


/etc/hosts.allow
/etc/hosts.deny

配置文件语法:
  daemon_list: client_list [:options]
  daemon_list:
    应用程序的文件名称,而非服务名
    应用程序文件名称列表,彼此间使用逗号分隔
        例如: sshd,vsftpd
          ALL表示所有服务

  client_list:
    IP地址
    主机名
    网络地址:必须使用完整格式的掩码,不使用前缀格式掩码;所以类似于192.168.1.0/24不合法
    简短格式的网络地址:192.168.1.表示 192.168.1.0/255.255.255.0
    ALL: 所有主机
    KNOWN
    UNKNOWN:
    PARANOID
  
  EXCEPT: 除了
    hosts.allow
      vsftpd:172.16. EXCEPT 172.16.100.0/255.255.255.0  EXCEPT 172.16.100.1

  [:options]
    deny: 拒绝,主要用于hosts.allow文件中
      vsftpd: 172.16.:deny  //非172.16网络的反而能访问
    allow: 允许,主要用于hosts.deny文件中
    spawn: 启动额外应用程序
      vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/vsftpd.deny.log
            %c: client ip    
            %s: server ip
            %d: daemon name
  
  例如: 1.vsftpd服务不允许192.168.1.101访问
        # vim /etc/hsots.deny
         添加: vsftpd: 192.168.1.101
      2. vsftpd服务只允许192.168.1网络访问
        # vim /etc/hosts.allow
          添加:vsftpd:192.168.1.
        # vim /etc/hosts.deny
          添加: vsftpd:ALL


检查次序如下图所示:先在hosts.allow中进行匹配,如果有就直接放行了,没有就继续进行host.deny匹配,hosts.deny中如果匹配,那么就拒绝放行,没有就进行默认操作,默认放行

iptables 策略路由 NAT iptable_nat_运维_02

实例:控制telnet服务仅允许172.16.0.0网络中的主机访问,但不包括172.16.100.0/255.255.255.0中的主机

  对所有正常登陆的主机都记录于/var/log/telnet.allow.log中

  所有未授权访问尝试都记录于/var/log/telnet.deny.log中


# yum install telnet-server -y
# vim /etc/xinetd.d/telnet
    disabled = no    //相当于chkconfig telnet on
# vim hosts.allow
 添加: in.telnetd: 172.16. EXCEPT 172.16.100. :spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/telenet.allow.log
# vim hosts.deny
 添加: in.telnetd:ALL EXCEPT 172.16. EXCEPT 172.16.100. :spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/telnet.deny.log