快速业务通道

RHEL5.7下iptabels防火墙配置(下)

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-25

上一篇讲了iptables防火墙对于单个主机的应用,现在来学习一下将iptables防火墙作为网关防火墙使用.这时iptables防火墙不仅仅是保护一台主机了,而是保护整个网络,充当网关这样的角色.责任相当更加重大,同时需求也提升了很多.
linux防火墙的NAT功能
有关NAT地址转换的知识在这里就不多说了,我们知道这个一般都是在路由器上实现的,而linux主机同样可以实现这个功能.iptables防火墙中有3张内置的表:filter、nat和mangle,其中的nat表实现了地址转换的功能.nat表包含PREROUTING、OUTPUT和POSTROUTING 3条链,里面包含的规则指出了如何对数据包的地址进行转换.
1、SNAT
源NAT的规则在POSTROUTING链中定义.这些规则的处理是在路由完成后进行的,可以使用"-j SNAT"目标动作对匹配的数据包进行源地址转换.如果希望内网10.10.1.0/24出去的数据包其源IP地址都转换外网接口eth0的固定公网IP地址218.75.26.35,采用"-j POSTOUTING”目标动作,则需要执行以下iptables命令:
iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j SNAT --to-source 218.75.26.35
以上命令中,"-t nat"指定使用的是nat表,"-A POSTROUTING"表示在POSTROUTING链中添加规则,"--to-source 218.75.26.35"表示把数据包的源IP地址转换为218.75.26.35,而根据-s选项的内容,匹配的数据包其源IP地址应该是属于10.10.1.0/24子网的.还有,"-o eth0"指定了只有从eth0接口出去的数据包才做源NAT转换,转换后的公网地址直接是eth0的公网IP地址.
**************************************************************************************
除了转换为eth0的公网地址外,也可以使用其他地址,例如,218.75.26.34.此时,需要为eth0创建一个子接口,并把IP地址设置为218.75.26.34,使用的命令如下所示:
ifconfig eth0:1 218.75.26.34 netmask 255.255.255.240
以上命令使eth0接口拥有两个公网IP.也可以使用某一IP地址范围作为转换后的公网地址,此时要创建多个子接口,并对应每一个公网地址.而"--to-source"选项后的参数应该以"a.b.c.x-a.b.c.y"的形式出现.**************************************************************************************
前面介绍的是数据包转换后的公网IP是固定的情况.如果公网IP地址是从ISP服务商那里通过ADSL拨号动态获得的,则每一次拨号所得到的地址是不同的,并且网络接口也是在拨号后才产生的.在这种情况下,前面命令中的"--to-source"选项将无法使用.为了解决这个问题,iptables提供了另一种称为IP伪装的源NAT,其实现方法是采用"-j MASQUERADE"目标动作,具体命令如下所示.
iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o ppp0 -j MASQUERADE
以上命令中,MASQUERADE意为伪装,ppp0是拨号成功后产生的虚拟接口,其IP地址是从ISP服务商那里获得的公网IP."-j MASQUERADE"表示把数据包的源IP地址改为ppp0接口的IP地址.
2、DNAT
目的NAT改变的是数据包的目的IP地址,当来自Internet的数据包访问NAT服务器网络接口的公网IP时,NAT服务器会把这些数据包的目的地址转换为某一对应的内网IP,再路由给内网计算机.这样,使用内网IP地址的服务器也可以为Internet上的计算机提供网络服务了.如果大家学习过硬件防火墙的话,会知道有一个DMZ区域,可以将内部对外的服务器放在这个区域映射出去.同理,iptables防火墙也可以实现同样的功能."-j DNAT"指定了目标动作是DNAT,表示要对数据包的目的IP进行修改,它的子选项"--to 10.10.2.3"表示修改后的IP地址是10.10.2.3.于是,目的IP修改后,接下来

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号