Iptables作网关时一种简单的NAT利用方法[Linux安全]

iptables [-t表名] <-A| I |D |R>  链名[法则编号] [-i | o 网卡名称] [-p 协议范例] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 行动 >

INPUT链:当一个数据包由内核中的路由计算肯定为本地Linux系统后,它会通过INPUT链的查抄.             

OUTPUT链:保存给系统自身生成的数据包.

FORWARD链:经过Linux系统路由的数据包(即当iptables防火墙用于衔接两个网络,两个网络之间的数据包必须流经该防火墙).

PREROUTING链:用于改正目的地地址(DNAT).

POSTROUTING链:用于改正源地址(SNAT).

◆转发和NAT的语义在iptables是独立的.转发数据包的功效是在filter表中通过利用FORWARD法则链来完成;而NAT功效是在nat通过利用PREROUTING、POSTROUTING法则链来完成.混合这二个概念对它们的功效并没有影响,但目前记着它们的辨别是很重要的.转发和NAT是二个差别的功效和技术;转发是一个路由功效,而NAT是在nat表中定义的一个转换功效.

Iptables作网关NAT路由器,启动的是NAT的地址假装功效SNAT/MASQUERADE,具体以公司NAT路由脚本/root/firewall.sh实例来阐明下:

此脚本实现功效以下:

①因为是绑定mac地址上网,企业内部客户机如绑定mac后可根绝局域网内ARP病毒;

②对局域网内机械上网严峻掌握,每增添一台工作用机,就必须重新革新NAT服务器的ip-mac对应关系;严峻根绝了公司外来用机上网问题(有的员工周末加班时喜好带自己手提),在安全问题上做到防患于未然;

③配合NAT网关服务器的监控软件NTOP+iptraf,可以做到及时监控每台主机的流量情形,如发现流量非常可及时告诉网管或行政处理;

④经工作实际利用发现,此脚本作NAT网关路由器时,可将公司10M电信光纤带宽施展得极致,即一个员工用迅雷,整个公司均打不开网页.

⑤网关NAT服务器也合适做局域网的文件服务器,供应vsftpd,samba服务等;

⑥看过一些别的linux爱好者写过的脚本,感受没此脚本精简便利;这里感激3158.com技术总监唐老师供应技术性指导.

#!/bin/bash

#为了便利调试工作,将防火墙法则写成脚本情势便利调试.

echo "1" > /proc/sys/net/ipv4/ip_forward
arp -f /root/mac.txt

#以mac.txt文件定义的主机ip及mac地址来替换原有arp对应关系;每增添一台工作用机,就要重新运行一次此脚本.

#当iptables对filter nat mangle肆意一表举行操作时,会自动加进iptable_nat模块;这个可以不写

modprobe iptable_nat

#加载状况检测机制,state模块时用到,这个必写

modprobe ip_conntrack

#ip_conntrack_ftp是本机做FTP时用到的,这个看你的网关NAT用不用FTP,我这里用到了所以写上了

modprobe ip_conntrack_ftp

#ip_nat_ftp是通过本机的FTP时需求用到的,这个我系统用到了.

modprobe ip_nat_ftp

#排除本网关的Filter、FORWARD、POSTROUTIG链的默许法则

iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat

#将FORWARD的默许战略设置为禁止一切(基于最安全原则考虑)

iptables -P FORWARD DROP

#客户机绑定mac地址才能上网,这样避免恶意增添IP在公司内部上网,惹起不安全隐患.

cat /root/mac.txt | while read LINE
do       
ipad =`echo $LINE | awk '{print $1}'`      
macd =`echo $LINE | awk '{print $2}'`
iptables -A FORWARD -s $ipad -m mac --mac-source $macd -j ACCEPT
done

#网关上有几块网卡,eth0接的是外网IP地址,eth1、eth2等对应当局域网IP,因是租用了电信的光纤,不存在着ADSL上网情形.

iptables -A FORWARD -i eth1 -m state
--state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24
-j SNAT --to 59.195.233.234

/root/mac.txt部份内容以下:

192.168.1.50 00:16:D3:F6:BD:F5
192.168.1.57 00:16:36:B4:6C:5D
192.168.1.58 00:13:D3:20:04:12
192.168.1.59 00:1E:37:15:18:59
192.168.1.60 00:16:D3:5F:23:B7
192.168.1.65 00:E0:4C:01:1B:85
192.168.1.66 00:1E:37:15:18:59
192.168.1.67 00:E0:B1:B2:58:18
192.168.1.68 00:15:58:20:47:18
192.168.1.80 00:17:31:67:98:DA
192.168.1.88 00:E0:4C:01:1B:85
192.168.1.93 00:21:85:30:7F:DE
192.168.1.94 00:E2:1C:D1:60:41
192.168.1.97 00:13:D3:5E:2F:12
192.168.1.98 00:1D:0F:0F:CC:A2
192.168.1.99 00:19:DB:64:13:5A
......