1、iptables需要留出dns用的埠嗎
iptables學習03埠轉發2個網路介面:口:10.1.1.254/24 eth0,Wan口:60.1.1.1/24 eth1Lan內web server: 10.1.1.1:80,Lan內ftp server: 10.1.1.2:21目標:對內部 server進行埠轉發實現internet用戶訪問內網伺服器首先,確認你的linux的各項配置正常,能夠訪問內外網[plain]iptables -P FORWARD DROP [plain]iptables -A FORWARD -mstate --state ESTABLISHED,RELATED -j ACCEPT 也需要加入確認包和關聯包的允許通過如果你要把訪問 60.1.1.1:80的數據包轉發到Lan內web server,用下面的命令[plain]iptables -t nat -A PREROUTING -d 60.1.1.1 -p tcp --dport 80 -j DNAT --to 10.1.1.1:80 ftp服務也同樣,命令如下:[plain]iptables -t nat -A PREROUTING -d 60.1.1.1 -p tcp --dport 21 -j DNAT --to 10.1.1.2:21 現在還不能訪問,為什麼呢?我下面詳細分析一下。對於iptables好像往外訪問的配置較容易,而對內的轉發似乎就有一些問題了能引起這個配置失敗的原因有很多,我們一個個的來說:第一,本例中,我們的 FORWARD策略是DROP,那麼也就是說,沒有符合規則的包將被丟棄,不管內到外還是外到內,我們在這里依然不討論那個確認包和關聯包的問題,我們不用考慮他的問題,下面我會詳細說一下這個東西,那麼如何讓本例可以成功呢?加入下面的規則。[plain]iptables -A FORWARD -d 10.1.1.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 21 -j ACCEPT 有沒有覺得有一些暈?為什麼目的地址是10.xxx而不是60.xxx人家internet用戶不是訪問的60.xxx嗎?呵呵,回到上面看看那個圖吧, FORWARD鏈在什麼位置上,它是在PREROUTING之後,也就是說當這個包到達FORWARD鏈的時候,目的地址已經變成10.xxx了,假如 internet用戶的請求是這樣202.1.1.1:1333-->60.1.1.1:80,在經過了我們的PREROUTING鏈之後將變成 202.1.1.1:1333-->10.1.1.1:80,這個時候如果你設置一個目的地址為60.xxx的規則有用嗎?呵呵,這是問題一。這個時候應該可以完成埠轉發的訪問了,但是有一些時候還是不行?為什麼?看問題二。第二,內網server的ip配置問題,這里我們以web server為例說明一下(ftp情況有一些特殊,下面我們再詳細討論,說確認包和關聯包的時候討論這個問題),上面說到,有的時候可以訪問了,有的時候卻不行,就是這個web server的ip設置問題了,如果web server沒有指定默認的網關,那麼在作了上面的配置之後,web server會收到internet的請求,但是,他不知道往哪裡回啊,人家的本地路由表不知道你那個internet的ip,202.1.1.1該怎麼走。如果你使用截包工具在web server上面察看,你會發現server收到了來自 202.1.1.1:1333-->10.1.1.1:80的請求,由於你沒有給webserver配置默認網關,它不知道怎麼回去,所以就出現了不通的情況。怎麼辦呢?兩個解決方法:一就是給這個server配置一個默認網關,當然要指向這個配置埠轉發的linux,本例是 10.1.1.254,配置好了,就一定能訪問了。有一個疑問?難道不需要在FORWARD鏈上面設置一個允許 web server的ip地址訪問外網的規則嗎?它的包能出去?答案是肯定的,能出去。因為我們那一條允許確認包與關聯包的規則,否則它是出不去的。第二種方法,比較麻煩一些,但是對伺服器來說這樣似乎更安全一些。方法就是對這個包再作一次SNAT,也就是在POSTROUTING鏈上添加規則。命令如下:[plain]iptables -t nat -A POSTROUTING -d 10.1.1.1 -p tcp --dport 80 -j SNAT --to 10.1.1.254 ftp的方法相同。這條命令不太好懂??其實很簡單,如果使用這條命令,那麼你的web server不需要再設置默認網關,就能收到這個請求,只要他和linux的 lan ip地址是能互訪的(也就是說web server和linux的Lanip在一個廣播域),我們在根據上面的netfilter流程圖來分析這個包到底被我們怎麼樣了,首先一個請求202.1.1.1:1333--> 60.1.1.1:80被linux收到了,進入 PREROUTING,發現一個規則(iptables -t nat -APREROUTING -d 60.1.1.1 -p tcp --dport 80 -j DNAT --to 10.1.1.1:80)符合,好了,改你的目的地址,於是這個包變成了202.1.1.1:1333-->10.1.1.1:80,繼續往前走,進入FORWARD鏈,okay,也有一條規則允許通過 (iptables -AFORWARD -d 10.1.1.1 -p tcp --dport 80 -j ACCEPT),進入route box選路,找到合適的路徑了,繼續進入POSTROUTING鏈,耶?又發現一個符合的規則 (iptables -t nat -A POSTROUTING -d 10.1.1.1 -p tcp --dport 80 -jSNAT --to 10.1.1.254), 原來是一個SNAT,改你的源地址,於是這個包變成了10.1.1.254:xxxx-->10.1.1.1:80。為什麼用xxxx了,這里的埠是隨機的,我也不知道會是什麼。而整個的兩次變化的過程都會記錄在linux的ip_conntrack中,當web server收到這個包的時候,發現,原來是一個內網自己兄弟來的請求阿,又在一個廣播域,不用找網關,把返回包直接扔給交換機了,linux在收到返回包之後,會根據他的 ip_conntrack中的條目進行兩次變換,返回真正的internet用戶,於是完成這一次的訪問。看了上面的兩個例子,不知道大家是否清楚了iptables的轉發流程,希望對大家有所幫助,下面我們就說說我一直在上面提到的關於那個 ESTABLISHED,RELATED的規則是怎麼回事,到底有什麼用處。說這個東西就要簡單說一下網路的數據通訊的方式,我們知道,網路的訪問是雙向的,也就是說一個Client與Server之間完成數據交換需要雙方的發包與收包。在netfilter中,有幾種狀態,也就是 new,established,related,invalid。當一個客戶端,在本文例一中,內網的一台機器訪問外網,我們設置了規則允許他出去,但是沒有設置允許回來的規則阿,怎麼完成訪問呢?這就是netfilter的狀態機制,當一個lan用戶通過這個linux訪問外網的時候,它發送了一個請求包,這個包的狀態是new,當外網回包的時候他的狀態就是established,所以,linux知道,哦,這個包是我的內網的一台機器發出去的應答包,他就放行了。而外網試圖對內發起一個新的連接的時候,他的狀態是new,所以linux壓根不去理會它。這就是我們為什麼要加這一句的原因。還有那個 related,他是一個關聯狀態,什麼會用到呢?tftp,ftp都會用到,因為他們的傳輸機制決定了,它不像http訪問那樣,Client_IP:port-->server:80 然後server:80-->Client_IP:port,ftp使用 tcp21建立連接,使用20埠發送數據,其中又有兩種方式,一種主動 active mode,一種被動passive mode,主動模式下,client使用port命令告訴server我用哪一個埠接受數據,然後server主動發起對這個埠的請求。被動模式下, server使用 port命令告訴客戶端,它用那個埠監聽,然後客戶端發起對他的數據傳輸,所以這對於一個防火牆來說就是比較麻煩的事情,因為有可能會有new狀態的數據包,但是它又是合理的請求,這個時候就用到這個related狀態了,他就是一種關聯,在linux中,有個叫 ftp_conntrack的模塊,它能識別port命令,然後對相應的埠進行放行。還有幾個在實際中比較實用(也比較受用:-))的命令參數,寫出來供大家參考[plain]iptables -L -n 這樣的列表會跳過 linux的domain lookup,有的時候使用iptables -L會比較慢,因為linux會嘗試解析ip的域名,真是羅嗦,如果你的 dns server比較不爽的話,iptables -L就會讓你很不爽,加一個-n參數就好了。列表刷的就出來。當然了,如果你的linux就是做防火牆,建議把nameserver去掉,在 /etc/resolve.conf裡面,因為有時候使用route命令也會比較慢列出來,很是不爽。[plain]iptables -L -v 這個命令會顯示鏈中規則的包和流量計數,嘿嘿,看看哪些小子用的流量那麼多,用tc限了他。[plain]cat /proc/net/ip_conntrack 查看目前的 conntrack,可能會比較多哦,最好加一個|grep 關鍵字,看看你感興趣的鏈接跟蹤[plain]wc -l /proc/net/ip_conntrack 看看總鏈接有多少條[plain]iptables-save >/etc/iptables 把當前的所有鏈備份一下,之所以放到/etc下面叫iptables,因為這樣重起機器的時候會自動載入所有的鏈,經常地備份一下吧,否則如果鏈多,萬一掉電重啟,你還是會比較痛苦。
2、Linux下的iptable實現nat網關。(DNS,DHCP,外網,內部區域網)
iptables -A INPUT -i 內網卡來 -j ACCEPT
這行是讓NAT主機接收內網數據包源
echo "1" > /proc/sys/net/ipv4/ip_forward
這行是讓Linux主機由router功能
iptables -t nat -A POSTROUTING -s 內網ip段 -o 外網網卡 -p tcp --dport 80 -j MASQUERADE
這行就是做個NAT了,使內網可訪問外網。
3、請教使用iptables屏蔽域名的方法
兩種方法:
drop 對這個域名的 dns 請求
參考:http://ju.outofmemory.cn/entry/86709
添加專域名過屬濾模塊參考:http://bbs.chinaunix.net/thread-2170400-1-1.html
4、openwrt路由器怎麼使用iptables進行域名過濾
電信的寬頻無抄線路由寬頻貓設備只要開啟Mac無線網卡過濾,就可以避免不在設置范圍內的無線網卡連接到wifi網路信號。只要開啟MAC無線網卡地址過濾,就可以屏蔽其他蹭網的無線網卡設備連接你的無線網路。開啟路由器的無線網卡過濾,設置不在你的設置范圍內的無線網卡,就不可能有能力連接上這個無線網路wifi熱點。
5、iptables域名匹配
俺是這樣的
域名和ip寫到host那邊
iptables那邊屏蔽ip
6、區域網內如何實現特定埠的域名重定向?
在路由器上使用iptables命令,設置流量流量轉發
7、linux下iptables的nat關於SNAT和DNAT轉發實驗
一、概述 1. 什麼是NAT 在傳統的標準的TCP/IP通信過程中,所有的路由器僅僅是充當一個中間人的角色,也就是通常所說的存儲轉發,路由器並不會對轉發的數據包進行修改,更為確切的說,除了將源MAC學校換成自己的MAC學校以外,路由器不會對轉發的數據包做任何修改。NAT(Network Address Translation中國絡學校翻譯)恰恰是出於某種特殊需要而對數據包的源ip學校、目的ip學校、源埠、目的埠進行改寫的操作。 2. 為什麼要進行NAT 我們來看看再什麼情況下我們需要做NAT。 假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP學校都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息,這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部中國卡上綁定多個合法IP學校,然後通過NAT技術使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。 再比如使用撥號上中國的中國吧,因為只有一個合法的IP學校,必須採用某種手段讓其他機器也可以上中國,通常是採用 中國伺服器的方式,但是中國伺服器,尤其是應用層中國伺服器,只能支持有限的協議,如果過了一段時間後又有新的服務出來,則只能等待中國伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題, 因為是在應用層以下進行處理,NAT不但可以獲得很高的訪問速度,而且可以無縫的支持任何新的服務或應用。 還有一個方面的應用就是重定向,也就是當接收到一個包後,不是轉發這個包,而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明中國,在對http流量進行緩存的同時,可以提供對Internet的無縫訪問。 3. NAT的類型 在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種類型,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉發數據包的源學校,所謂DNAT就是改變轉發數據包的目的學校。 二、原理 在「用iptales實現包過慮型防火牆」一文中我們說過,netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter",所以在使用filter功能時,我們沒有必要顯式的指明"-t filter"。 同filter表一樣,nat表也有三條預設的"鏈"(chains),這三條鏈也是規則的容器,它們分別是: PREROUTING:可以在這里定義進行目的NAT的規則,因為路由器進行路由時只檢查數據包的目的ip學校,所以為了使數據包得以正確路由,我們必須在路由之前就進行目的NAT; POSTROUTING:可以在這里定義進行源NAT的規則,系統在決定了數據包的路由以後在執行該鏈中的規則。 OUTPUT:定義對本地產生的數據包的目的NAT規則。 三、操作語法 如前所述,在使用iptables的NAT功能時,我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項: 1. 對規則的操作 加入(append) 一個新規則到一個鏈 (-A)的最後。 在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。 在鏈內某個位置替換(replace) 一條規則 (-R)。 在鏈內某個位置刪除(delete) 一條規則 (-D)。 刪除(delete) 鏈內第一條規則 (-D)。 2. 指定源學校和目的學校 通過--source/--src/-s來指定源學校(這里的/表示或者的意思,下同),通過--destination/--dst/-s來指定目的學校。可以使用以下四中方法來指定ip學校: a. 使用完整的域名,如「至美.linuxaid中國中國」; b. 使用ip學校,如「192.168.1.1」; c. 用x.x.x.x/x.x.x.x指定一個中國絡學校,如「192.168.1.0/255.255.255.0」; d. 用x.x.x.x/x指定一個中國絡學校,如「192.168.1.0/24」這里的24表明了子中國掩碼的有效位數,這是 UNIX環境中通常使用的表示方法。 預設的子中國掩碼數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。 3. 指定中國絡介面 可以使用--in-interface/-i或--out-interface/-o來指定中國絡介面。從NAT的原理可以看出,對於PREROUTING鏈,我們只能用-i指定進來的中國絡介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的中國絡介面。 4. 指定協議及埠 可以通過--protocol/-p選項來指定協議,如果是udp和tcp協議,還可--source-port/--sport和 --destination-port/--dport來指明埠。 四、准備工作 1. 編譯內核,編譯時選中以下選項,具體可參看「用iptales實現包過慮型防火牆」一文: Full NAT MASQUERADE target support REDIRECT target support 2. 要使用NAT表時,必須首先載入相關模塊: modprobe ip_tables modprobe ip_nat_ftp iptable_nat 模塊會在運行時自動載入。 五、使用實例 1. 源NAT(SNAT) 比如,更改所有來自192.168.1.0/24的數據包的源ip學校為1.2.3.4: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4 這里需要注意的是,系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。 有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號上中國的時候使用,或者說在合法ip學校不固定的情況下使用。比如 # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 可以看出,這時候我們沒有必要顯式的指定源ip學校等信息。 2. 目的SNAT(DNAT) 比如,更改所有來自192.168.1.0/24的數據包的目的ip學校為1.2.3.4: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4 這里需要注意的是,系統是先進行DNAT,然後才進行路由及過慮等操作。 有一種DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當於將符合條件的數據包的目的ip學校改為數據包進入系統時的中國絡介面的ip學校。通常是在與squid配置形成透明中國時使用,假設squid的監聽埠是3128,我們可以通過以下語句來將來自192.168.1.0/24,目的埠為80的數據包重定向到squid監聽 埠: iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128 六、綜合例子 1. 使用撥號帶動局域中國上中國 小型企業、中國吧等多使用撥號中國絡上中國,通常可能使用中國,但是考慮到成本、對協議的支持等因素,建議使用ip欺騙方式帶動區域中國上中國。 成功升級內核後安裝iptables,然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp #進行ip偽裝 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 2. ip映射 假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP學校都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部中國卡上綁定多個合法IP學校,然後通過ip映射使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。 我們假設以下情景: 該ISP分配給A單位至美伺服器的ip為: 偽ip:192.168.1.100 真實ip:202.110.123.100 該ISP分配給B單位至美伺服器的ip為: 偽ip:192.168.1.200 真實ip:202.110.123.200 linux防火牆的ip學校分別為: 內中國介面eth1:192.168.1.1 外中國介面eth0:202.110.123.1 然後我們將分配給A、B單位的真實ip綁定到防火牆的外中國介面,以root許可權執行以下命令: ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0 ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0 成功升級內核後安裝iptables,然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp 首先,對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT): iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100 iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200 其次,對防火牆接收到的源ip學校為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT): iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100 iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200 這樣,所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200,從而也就實現了ip映
8、iptables能不能做域名規則埠轉發?
i
9、iptables怎麼限制網址訪問
比如封掉copy im.qq.com
1)先查看im.qq.com對應的ip
輸入命令: nslookup im.qq.com解析的ip地址為:112.90.77.139
2)封掉這個ip
iptables -I INPUT -s 112.90.77.139 -p tcp -j DROP10、如何用iptables實現NAT
本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。需要申明的是,本文絕對不是 NAT-HOWTO的簡單重復或是中文版,在整個的敘述過程中,作者都在試圖用自己的語言來表達自己的理解,自己的思想。
一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中,所有的路由器僅僅是充當一個中間人的角色,也就是通常所說的存儲轉發,路由器並不會對轉發的數據包進行修改,更為確切的說,除了將源MAC地址換成自己的MAC地址以外,路由器不會對轉發的數據包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息,這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址,然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧,因為只有一個合法的IP地址,必須採用某種手段讓其他機器也可以上網,通常是採用代理伺服器的方式,但是代理伺服器,尤其是應用層代理伺服器,只能支持有限的協議,如果過了一段時間後又有新的服務出來,則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題,
因為是在應用層以下進行處理,NAT不但可以獲得很高的訪問速度,而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向,也就是當接收到一個包後,不是轉發這個包,而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理,在對http流量進行緩存的同時,可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種類型,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉發數據包的源地址,所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過,netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter",所以在使用filter功能時,我們沒有必要顯式的指明"-t filter"。
同filter表一樣,nat表也有三條預設的"鏈"(chains),這三條鏈也是規則的容器,它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則,因為路由器進行路由時只檢查數據包的目的ip地址,所以為了使數據包得以正確路由,我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則,系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。
三、操作語法
如前所述,在使用iptables的NAT功能時,我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過--source/--src/-s來指定源地址(這里的/表示或者的意思,下同),通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名,如「www.linuxaid.com.cn」;
b. 使用ip地址,如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址,如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址,如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數,這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出,對於PREROUTING鏈,我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過--protocol/-p選項來指定協議,如果是udp和tcp協議,還可--source-port/--sport和 --destination-port/--dport來指明埠。
四、准備工作
1. 編譯內核,編譯時選中以下選項,具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時,必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如,更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
這里需要注意的是,系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號上網的時候使用,或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出,這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如,更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
這里需要注意的是,系統是先進行DNAT,然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用,假設squid的監聽埠是3128,我 們可以通過以下語句來將來自192.168.1.0/24,目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128
六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網,通常可能使用代理,但是考慮到成本、對協議的支持等因素,建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables,然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址,然後通過ip映射使發給其中某一 個IP地址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面,以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables,然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先,對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
其次,對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
這樣,所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200,從而也就實現了ip映射。
轉載