IpTables bajo el tutorial de configuración de Linux

1, el filtro de tabla especificado para la tabla predeterminada del firewall de filtro de paquetes, tabla nat, mangle table 2, especifique el comando de operación para agregar, eliminar, actualizar 3, especifique la entrada de firewall del filtro de paquetes de operación en cadena, salida hacia adelante También es posible operar su propia definición. 4. Especifique coincidencias de reglas. Varias reglas coinciden. Por ejemplo, IP, puerto, tipo de paquete 5, acción objetivo especificada ACEPTAR significa que fue descartado por DROP significa RECHAZAR significa rechazar el paquete. LOG indica que la información del paquete está registrada. Valor de TOS del registro TOS reescribir el uso del paquete: < ,null,null,3],-t tabla] cmd [cadena] [coincidente de reglas] [- j destino] cmd: -A Agregue una o más reglas al final de la cadena seleccionada -D Eliminar -R Reemplazar -I Insertar -L Listar todas las reglas - F Borrar - N Crear - X Eliminar la cadena definida por el usuario especificada - P Especificar la regla predeterminada para la cadena permanente - C Verificar si el paquete dado coincide con la regla de la cadena especificada - Z contará los bytes del paquete de todas las reglas en la cadena especificada Desactivado -h muestra información de ayuda //ejemplo # touch /etc/rc.d/filter-firewall //IPT = /sbin /iptables WWWSERVER = 192.168.168.119 FTPSERVER = 192.168.168.119 IPRANGE = 192.168.168.0 /24 $ IPT -F $ IPT -P ADELANTE DROP $ IPT -A ADELANTE -p tcp -d $ WWWSERVER --dport www -i eth0 -j ACEPTAR $ IPT -A FORWARD -p tcp -d $ FTPSERVER --portar ftp -i eth0 -j ACEPTAR $ IPT -A ENTRADA -s 192.168.168.81 -i eth0 -j GOTAR ----------------------- - Caso: Hace unos días se encontró un pequeño problema: una pequeña red con una IP pública de telecomunicaciones. Después de usar NAT para hacer NAT, todos los usuarios salen de esta IP. Hay algunos servidores en el interior que deben anunciarse, como: 80, hacer SNAT en NAT (deje que todos vayan aquí en la red externa): iptables -t nat -A POSTROUTING -o eth0 -j SNAT - to-source 222.111.33.88 Luego haga DNAT para anunciar el servicio (los clientes externos pueden acceder al servidor a través de la IP pública): iptables -t nat -A PREROUTING -d 222.111.33.88 -p tcp -m tcp --dport 80 -j DNAT --to- Destino 192.168.1.250:80 Después de dos pasos, los usuarios internos deben poder acceder a la red externa, y los usuarios externos pueden acceder a nuestros servidores internos. ** Nota: Para activar el reenvío y borrar las reglas anteriores. ****** echo 1 > /proc /sys /net /ipv4 /ip_forward iptables -F iptables -X iptables -t nat -F iptables -t nat -X ************ ********************

Pero ahora hay un problema, es decir, el usuario detrás de NAT (LAN) no pasa directamente a través de la IP de WAN: 222.1111.33.88 Accede al servidor interno. Los clientes consideran que solo una IP (222.111.33.88) es conveniente, y no quieren comprar un nombre de dominio. Solo quiere que todos recuerden esta IP. Se puede acceder en cualquier momento y en cualquier lugar (tanto en el interno como en el externo).

Ahora veamos por qué la red interna no puede acceder al servidor a través de WAN IP. Veamos cómo va el paquete: Supongamos que la IP del usuario del acceso a la intranet es: 192.168.1.123 La IP del servidor es: 192.168 .1.250, todo el proceso es así: 192.168.1.123 puerto de acceso 202 de 222.111.33.88 a través del puerto XXX, puerto IP de origen: 192.168.1.123: puerto IP de destino XXX: 222.1111.88.88: 80 Después de recibir el paquete de datos, NAT Se encontró que la solicitud era interna (DNAT) y el paquete se envió directamente al 192.168.1.250. 192.168.1.250 recibió el paquete de 192.168.1.123. Si responde nuevamente a 192.168.1.123, 192.168.1.123 recibirá una respuesta similar a: 192.168.1.250:80 ---> 192.168.1.123XXX. Sin embargo, 192.168.1.123 solicitudes: 222.111.33.88:80, por lo que no recibe una respuesta de 192.168.1.250:80. Transferencia de datos fallida. Por lo tanto, los usuarios internos no pueden acceder directamente a través de la IP de WAN. A través del proceso anterior, encontramos que el problema proviene principalmente de la solicitud de la intranet a la puerta de enlace, al ingresar a la primera cadena, PREROUTING es DNAT (asignación de puertos) que no pasará por el SNAT para la traducción de la dirección de origen, ya que no proviene de la tarjeta de red externa. Entonces, si desea que el paquete regrese correctamente, tiene que hacer un SNAT después de PREROUTING. Iptables -t nat -I POSTROUTING -s 192.168.1.0/255.255.255.0 -p tcp -d 192.168.1.250 --dport 80 -j SNAT --to 192.168.1.1 OK, el problema está resuelto. *** Si es FORWARD DROP, recuerde abrir 192.168.1.250:80 iptables -A FORWARD -p tcp -d 192.168.1.250 --dport 80 -j ACCEPT

Si desea usar el servicio FTP, recuerde Cargue el módulo FTP apropiado: modprobe ip_conntrack_ftp modprobe ip_nat_ftp También preste atención al modo activo y pasivo

-------------------------- Un artículo: 1, introducción de iptables

iptables es complejo, está integrado en el kernel de Linux. Los usuarios pueden filtrar paquetes que entran y salen de su computadora a través de iptables. Establezca sus reglas con el comando iptables para proteger su red de computadoras: qué datos pueden pasar, cuáles no pueden pasar y cuáles para pasar datos. A continuación, le mostraré cómo configurar sus propias reglas, a partir de ahora.

2, trabajo de inicialización

En el indicador de shell # debajo de

iptables -F