Linux防火墙基础知识及应用；设置SNAT策略，局域网共享上网；DNAT策略，发布内部服务器

防火墙，通俗地打个比方就相当于城池周围的护城河，开放和管理服务的提供

一般电脑系统的安全主要取决于：
1）第三方监控杀毒软件 如360杀毒软件
2）系统策略 防火墙规则设定
3）文件的权限设定





Linux防火墙体系主要工作在网络层，针对TCP/IP数据包的过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙），Linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和极高的效率，因此获得广泛的应用。



Netfilter：指的是linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在。
Iptables：用来管理linux防火墙的命令程序

Iptables的表，链结构
Iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则，iptables采用了“表”，“链”的分层结构
根据处理数据包的不同时机划分为五种链



根据规则的不同功能划分为默认的四个表，表和链的结构关系如下图所示，



数据包过滤的匹配流程，
iptables管理着四个默认表和五种链，各种防火墙规则依次存放在链中。当一个数据包到达防火墙以后，以及数据包进出防火墙时的处理，遵从以下的匹配流程





编写防火墙规则，
主要介绍一下netfilter防火墙的管理工具iptables命令的使用，包括基本的语法格式，数据包控制类型，以及如何管理，编写防火墙规则。



添加，查看，删除规则等基本操作
在熟练编写各种防火墙规则之前，首先需要掌握查看规则，添加规则，删除规则，清空链内规则等基本操作。









规则的匹配条件





结合实验，验证一下防火墙iptables的应用
实验环境；
1）vmware workstation虚拟机环境，三台虚拟机。都使用仅主机模式。
2）一台redhat6.5系统的PC充当网关防火墙，设置两个网卡eth0：ip为192.168.30.1 eth1： ip为12.0.0.1
3）一台Windows7系统的PC充当客户端，ip为192.168.30.66
4）一台redhat6.5系统的PC提供web服务，ip为12.0.0.12
5）在网关防火墙设置iptables规则，控制客户端访问web服务。
首先准备好实验环境，在网关防火墙PC上再添加一块网卡，修改网卡配置文件内容，设置两个网卡eth0：ip为192.168.30.1 eth1： ip为12.0.0.1









然后给另外两台也分别设定好ip地址，和默认网关。
内网Windows7主机设定ip为192.168.30.66



外网主机设定ip为12.0.0.12 ，并开启httpd服务提供web服务（redhat6.5系统默认安装httpd，只需开启服务即可），并清空自身的防火墙规则iptables -F.







在本机打开浏览器测试下看是否能够看到apache的欢迎首页



在网关防火墙上ping另外两台主机测试网络是否连通



打开/etc/sysctl.conf文件,开启网关防火墙主机的路由转发功能,首先将iptables规则清空







打开内网客户端主机输入外网ip地址访问外网web页面,在没有设置任何防火墙规则的情况下,可以看到提供的apache欢迎首页



然后我们在网关防火墙主机上设置一条iptables规则:iptables -I FORWARD -s 192.168.30.66 -j DROP （禁止转发内网客户机的数据包）



此时在客户机上再次访问外网web服务，显示的结果是无法访问



SNAT策略及应用

随着互联网在全世界的普及，IPv4协议支持的可用IP地址资源逐渐变少，资源匮乏使得许多企业难以申请更多的公网ip地址，或者只能承受一个或少数几个公网ip地址的费用，而与此同时，大部分企业面临着将局域网内的主机接入公网的需求。因此通过在网关中应用SNAT策略，可以解决局域网共享上网的问题。



SNAT转换原理分析如图所示







SNAT策略的应用实例，还是以刚才的实验环境为基础，进行设置SNAT防火墙规则,在设置SNAT之前将其他iptables规则清空以免干扰实验结果



在客户机访问外网主机的web服务



在外网主机上查看apache网站服务访问日志文件末尾几行，/etc/httpd/logs/access_log，可以看到刚刚访问网页的主机ip为192.168.30.66（我们设定的内网客户端）



在网关防火墙主机上设置SNAT策略，将地址192.168.30.66转换成外网接口网关12.0.0.1
iptables -t nat -I POSTROUTING -s 192.168.30.66 -o eth1 -j SNAT --to-source 12.0.0.1



再次在客户机上重新访问外网主机的web服务



在外网主机上查看apache网站服务访问日志文件末尾几行，/etc/httpd/logs/access_log，可以看到刚刚访问网页的主机ip为12.0.0.1（说明我们设定的内网客户端已经将地址转换成网关地址12.0.0.1）



DNAT策略及应用
DNAT策略与SNAT策略非常相似，只不过应用方向相反。DNAT用来修改目标地址ip和目标端口，SANT只能用在nat表的POSTROUTING链中，而DNAT只能用在nat表中的PREROUTING链和OUTPUT链中
仍以上面的实验环境为基础，现实工作中考虑到应用的安全和稳定性，公司将对外的网站服务器架设在一个内部网络中，除非在网关服务器中正确设置DNAT策略，否则internet中的客户机将无法访问公司内网的服务器。







以刚才的实验环境为基础，让内网的客户端提供web服务，让外网的PC去访问内网的web服务
首先在内网PC上打开IIS功能，搭建网站提供web服务，如下图所示操作；



在网关防火墙主机上设置DNAT策略，发布内网的web服务
iptables -t nat -I PREROUTING -d 12.0.0.1 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.30.66



在外网的PC浏览器上输入网关的ip地址12.0.0.1就可以访问内网提供的web服务了。



使用DNAT策略的效果如刚才实验所示；当外网中的PC提交http请求到企业的网关防火墙时，网关首先判断数据包的目标地址和目标端口，若发现该数据包需要访问本机的80端口，则将其目标地址（12.0.0.1）修改为内网中真正的网站服务器的ip地址（192.168.30.66），然后才发送给内部的网站服务器。
在上述的DNAT转换地址的过程，网关服务器会根据之前建立的DNAT映射，修改返回的http应答数据包的源ip地址，最后再返回给internet中的PC，internet中的客户机并不知道企业网站服务器的真实局域网地址，中间的转换完全由网关主机完成。
通过设置恰当的DNAT策略，企业内部的服务就可以面向internet提供服务了。