一、nat
之前网络防火墙的示例中,如果内网是私网地址,那么内网主机如何与外网通信呢?
这时候,iptables要实现内网和外网通信,有两种方式:
nat: Network Address Translation,安全性,网络层+传输层
proxy: 代理,应用层
常见的nat有两种情形:
SNAT: 只修改请求报文的源地址
DNAT:只修改请求报文的目标地址
nat表:
PREROUTTING: DNAT
OUTPUT
POSTROUTING: SNAT
实例:架构如下
中间一台主机当做连接内网和外网的接口,添加两块网卡,192.168.20.1作为内网网关,192.168.1.1为外网网关,内网中有台主(192.168.20.2)机指向内网网关(192.168.20.1)
具体步骤:
中间主机: 添加一块自定义网卡,添加ip: # ip addr add 192.168.20.1/24
打开转发功能: # vim /etc/sysctl.conf ==> net.ipv4.ip_forward=1 ==> sysctl -p
内网主机: 添加ip并且指向内网网关: # ifconfig eth1 192.168.20.2/24 up; # route add default gw 192.168.20.1
外网主机: 添加网络路由: # route add -net 192.168.20.0/24 gw 192.168.1.101
现在内外网主机可以互相ping通
接下来做一个基于DNAT的方式进行源地址转换:
1. 首先让外网启动web服务,并写一个简单的测试页面
2. 抓包测试:
外网主机: # tcpdump -i eth0 host 192.168.1.103
内网主机: # curl http://192.168.20.2
外网主机成功抓包: 说明内网主机可以和外网主机通信
3. 现在删掉刚才添加的外网主机的网络路由:
# route del -net 192.168.20.0/24
4. 写iptables规则实现snat转发
# iptables -t nat -A POSTROUTING -s 192.168.20.0/24 ! -d 192.168.20.0/24 -j SNAT --to-source 192.168.1.101
如果这个外网地址不是固定的,可以用MASQUERADE机制来地址伪装:
# iptables -t nat -A POSTROUTING -s 192.168.20.0/24 ! -d 192.168.20.0/24 -j MASQUERADE
6. 写iptables规则实现dnat转发
# iptables -t nat -A PREROUTING -d 192.168.1.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.20.2
再次测试,内网和外网可以通信,如果是端口映射,可以直接在ip后面指定[:PORT]
二、tcp_wrapper
tcp_wrapper: tcp包装器
对基于tcp协议开发并提供服务的应用程序,提供的一层访问控制工具
基于库调用实现其功能:libwrap
判断服务是否能够由tcp_wrapper进行访问控制:
(1)动态编译: ldd命令
(2)静态编译: strings命令查看应用程序文件,其结果中如果出现
hosts.allow
hosts.deny
在配置文件中为各服务分别定义访问控制规则实现访问控制:
/etc/hosts.allow
/etc/hosts.deny
配置文件语法:
daemon_list: client_list [:options]
daemon_list:
应用程序的文件名称,而非服务名
应用程序文件名称列表,彼此间使用逗号分隔
例如: sshd,vsftpd
ALL表示所有服务
client_list:
IP地址
主机名
网络地址:必须使用完整格式的掩码,不使用前缀格式掩码;所以类似于192.168.1.0/24不合法
简短格式的网络地址:192.168.1.表示 192.168.1.0/255.255.255.0
ALL: 所有主机
KNOWN
UNKNOWN:
PARANOID
EXCEPT: 除了
hosts.allow
vsftpd:172.16. EXCEPT 172.16.100.0/255.255.255.0 EXCEPT 172.16.100.1
[:options]
deny: 拒绝,主要用于hosts.allow文件中
vsftpd: 172.16.:deny //非172.16网络的反而能访问
allow: 允许,主要用于hosts.deny文件中
spawn: 启动额外应用程序
vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/vsftpd.deny.log
%c: client ip
%s: server ip
%d: daemon name
例如: 1.vsftpd服务不允许192.168.1.101访问
# vim /etc/hsots.deny
添加: vsftpd: 192.168.1.101
2. vsftpd服务只允许192.168.1网络访问
# vim /etc/hosts.allow
添加:vsftpd:192.168.1.
# vim /etc/hosts.deny
添加: vsftpd:ALL
检查次序如下图所示:先在hosts.allow中进行匹配,如果有就直接放行了,没有就继续进行host.deny匹配,hosts.deny中如果匹配,那么就拒绝放行,没有就进行默认操作,默认放行
实例:控制telnet服务仅允许172.16.0.0网络中的主机访问,但不包括172.16.100.0/255.255.255.0中的主机
对所有正常登陆的主机都记录于/var/log/telnet.allow.log中
所有未授权访问尝试都记录于/var/log/telnet.deny.log中
# yum install telnet-server -y
# vim /etc/xinetd.d/telnet
disabled = no //相当于chkconfig telnet on
# vim hosts.allow
添加: in.telnetd: 172.16. EXCEPT 172.16.100. :spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/telenet.allow.log
# vim hosts.deny
添加: in.telnetd:ALL EXCEPT 172.16. EXCEPT 172.16.100. :spawn /bin/echo `date` login attempt from %c to %s,%d >> /var/log/telnet.deny.log