您现在的位置是:首页 >其他 >防火墙(二)网站首页其他
防火墙(二)
一、SNAT原理与应用
SNAT应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
SNAT原理:修改数据包的源地址
SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发
先设置服务端的IP
临时打开路由转发功能的命令是:
echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sysctl -w net.ipv4.ip_forward=1
1是打开,0是关闭
但是服务器关闭之后就无法使用,可以使用永久打开
模拟实验
按照下图做一个小模拟实验
先设置三台服务器
先设置服务端服务器
安装httpd服务,修改网卡及网关
再设置客户端服务器
修改网卡以及网关即可
最后设置网关服务器
网关服务器需要两张网卡
配置客户端(内网)网卡
配置服务端(外网)网卡
别忘了关闭三台主机的防火墙与核心防护
这个时候客户端和服务端是都可以Ping的通网关服务器的两个网卡的
在网关服务器安装iptables服务
添加规则
在网关服务器里面添加内核配置文件
这个时候内网就可以直接ping通外网服务器了
设置SNAD转换
http的访问日志文件在 /etc/httpd/logs中
此时可以访问外网的网站
这个界面就代表我们已经进入外网的网站
这时我们可以在外网服务器上查询http的访问日志文件
二、DNAT的原理与应用
DNAT应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:修改数据包的目的地址
DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
模拟实验
准备步骤与SNAT一样,先配置好三台服务器的网卡、关闭防火墙、修改核心文件、下载httpd、安装iptables等
添加规则
iptables -t nat -A PREROUTING -d 12.0.0.30 -i ens35 -p tcp --dport 8080 -j DNAT --to 192.168.136.30:80
用公网服务器访问公网网关就可以进入私网服务器
小知识扩展:
主机型防护墙主要用于INPUT、OUTPUT链,设置规则时一般要详细指定到端口
网络型防火墙主要用于FORWARD链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
三、抓包
格式:
tcpdump(命令) tcp(协议i) -i ens33指定网卡) -t(不显示时间戳) -s0(完整抓取) -c 100(只抓取100个包) and(且) dst port ! 22(除了22端口号的包) and(且) src net(指定数据包的源网络地址) 192.168.1.0/24(源网络地址) -w(保存成文件) /opt/123.cap(文件名称位置)
tcp:ip icmp arp rarp和tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型
-i ens33:之抓取接口ens33的包
-t:不显示时间戳
-s0:抓取数据包时默认的抓取长度为68字节。加上-s0后抓取完整的数据包
dst port ! 22:不抓取目标端口是22的数据包
src net 192.168.1.0/24:数据包的源网络地址为192.168.1.0/24
-w /opt/123.cap:保存成cap文件,方便用wireshark分析
使用xshell将保存的文件传到Windows电脑上,然后使用wireshark软件打开
四、防火墙规则的备份和还原
备份:
iptables-save > 文件路径和文件名
还原:
iptables-restore < 备份的文件路径