|
- 撫琴煮酒 51CTO.com 2010-05-27
【51CTO.com獨家特稿】Iptables的基本語法(更好的理解后面的網(wǎng)關(guān)NAT腳本): iptables [-t表名] <-a| i="" |d="" |r=""> 鏈名[規(guī)則編號] [-i | o 網(wǎng)卡名稱] [-p 協(xié)議類型] [-s 源IP地址 | 源子網(wǎng)][--sport 源端口號] [-d 目標(biāo)IP地址 | 目標(biāo)子網(wǎng)][--dport 目標(biāo)端口號] <-j 動作=""> 
INPUT鏈:當(dāng)一個數(shù)據(jù)包由內(nèi)核中的路由計算確定為本地Linux系統(tǒng)后,它會通過INPUT鏈的檢查。 OUTPUT鏈:保留給系統(tǒng)自身生成的數(shù)據(jù)包�����。 FORWARD鏈:經(jīng)過Linux系統(tǒng)路由的數(shù)據(jù)包(即當(dāng)iptables防火墻用于連接兩個網(wǎng)絡(luò),兩個網(wǎng)絡(luò)之間的數(shù)據(jù)包必須流經(jīng)該防火墻)����。 PREROUTING鏈:用于修改目的地地址(DNAT)���。 POSTROUTING鏈:用于修改源地址(SNAT)����。 ◆轉(zhuǎn)發(fā)和NAT的語義在iptables是獨立的�����。轉(zhuǎn)發(fā)數(shù)據(jù)包的功能是在filter表中通過使用FORWARD規(guī)則鏈來完成;而NAT功能是在nat通過使用PREROUTING�、POSTROUTING規(guī)則鏈來完成?����;煜@二個概念對它們的功能并沒有影響���,但現(xiàn)在記住它們的區(qū)別是很重要的���。轉(zhuǎn)發(fā)和NAT是二個不同的功能和技術(shù);轉(zhuǎn)發(fā)是一個路由功能����,而NAT是在nat表中定義的一個轉(zhuǎn)換功能。 Iptables作網(wǎng)關(guān)NAT路由器��,啟動的是NAT的地址偽裝功能SNAT/MASQUERADE����,具體以公司NAT路由腳本/root/firewall.sh實例來說明下: 此腳本實現(xiàn)功能如下: ①因為是綁定mac地址上網(wǎng),企業(yè)內(nèi)部客戶機(jī)如綁定mac后可杜絕局域網(wǎng)內(nèi)ARP病毒��; ②對局域網(wǎng)內(nèi)機(jī)器上網(wǎng)嚴(yán)格控制�����,每增加一臺工作用機(jī),就必須重新刷新NAT服務(wù)器的ip-mac對應(yīng)關(guān)系���;嚴(yán)格杜絕了公司外來用機(jī)上網(wǎng)問題(有的員工周末加班時喜歡帶自己手提)����,在安全問題上做到防患于未然���; ③配合NAT網(wǎng)關(guān)服務(wù)器的監(jiān)控軟件NTOP+iptraf��,可以做到及時監(jiān)控每臺主機(jī)的流量情況����,如發(fā)現(xiàn)流量異?��?杉皶r通知網(wǎng)管或行政處理; ④經(jīng)工作實際使用發(fā)現(xiàn)�����,此腳本作NAT網(wǎng)關(guān)路由器時�����,可將公司10M電信光纖帶寬發(fā)揮得極致,即一個員工用迅雷�����,整個公司均打不開網(wǎng)頁��。 ⑤網(wǎng)關(guān)NAT服務(wù)器也適合做局域網(wǎng)的文件服務(wù)器����,提供vsftpd,samba服務(wù)等�����; ⑥看過一些其它linux愛好者寫過的腳本�����,感覺沒此腳本精簡方便�;這里感謝3158.com技術(shù)總監(jiān)唐老師提供技術(shù)性指導(dǎo)。 #為了方便調(diào)試工作�,將防火墻規(guī)則寫成腳本形式方便調(diào)試。 echo '1' > /proc/sys/net/ipv4/ip_forward arp -f /root/mac.txt |
#以mac.txt文件定義的主機(jī)ip及mac地址來代替原有arp對應(yīng)關(guān)系;每增加一臺工作用機(jī)���,就要重新運(yùn)行一次此腳本����。 #當(dāng)iptables對filter nat mangle任意一表進(jìn)行操作時�����,會自動加進(jìn)iptable_nat模塊�����;這個可以不寫 #加載狀態(tài)檢測機(jī)制�����,state模塊時用到�,這個必寫 #ip_conntrack_ftp是本機(jī)做FTP時用到的,這個看你的網(wǎng)關(guān)NAT用不用FTP����,我這里用到了所以寫上了 modprobe ip_conntrack_ftp |
#ip_nat_ftp是通過本機(jī)的FTP時需要用到的��,這個我系統(tǒng)用到了。 #清除本網(wǎng)關(guān)的Filter����、FORWARD、POSTROUTIG鏈的默認(rèn)規(guī)則 iptables -F INPUT iptables -F FORWARD iptables -F POSTROUTING -t nat |
#將FORWARD的默認(rèn)策略設(shè)置為禁止一切(基于最安全原則考慮) #客戶機(jī)綁定mac地址才能上網(wǎng)����,這樣防止惡意增加IP在公司內(nèi)部上網(wǎng),引起不安全隱患��。 cat /root/mac.txt | while read LINE do ipad =`echo $LINE | awk '{print $1}'` macd =`echo $LINE | awk '{print $2}'` iptables -A FORWARD -s $ipad -m mac --mac-source $macd -j ACCEPT done |
#網(wǎng)關(guān)上有幾塊網(wǎng)卡���,eth0接的是外網(wǎng)IP地址��,eth1�、eth2等對應(yīng)該局域網(wǎng)IP��,因是租用了電信的光纖����,不存在著ADSL上網(wǎng)情況。 iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 59.195.233.234 |
/root/mac.txt部分內(nèi)容如下: 192.168.1.50 00:16:D3:F6:BD:F5 192.168.1.57 00:16:36:B4:6C:5D 192.168.1.58 00:13:D3:20:04:12 192.168.1.59 00:1E:37:15:18:59 192.168.1.60 00:16:D3:5F:23:B7 192.168.1.65 00:E0:4C:01:1B:85 192.168.1.66 00:1E:37:15:18:59 192.168.1.67 00:E0:B1:B2:58:18 192.168.1.68 00:15:58:20:47:18 192.168.1.80 00:17:31:67:98:DA 192.168.1.88 00:E0:4C:01:1B:85 192.168.1.93 00:21:85:30:7F:DE 192.168.1.94 00:E2:1C:D1:60:41 192.168.1.97 00:13:D3:5E:2F:12 192.168.1.98 00:1D:0F:0F:CC:A2 192.168.1.99 00:19:DB:64:13:5A ...... |
|
