1. 前言
本文只講解實戰應用,不會涉及原理講解。如果想要了解iptables的工作流程或原理可參考如下博文。
具體操作是在PC機的VMware虛擬機上進行的,因此涉及的地址都是內網IP。在實際工作中也是一樣的操作流程,只需要把涉及外網的地址改為公網IP即可。
文章參考:iptables nat及端口映射
文章參考:企業軟件防火牆iptables
1.1. 為什么有這篇文章?
原因是在日常工作中,我們都會在自己的電腦上安裝VMware虛擬機,並由此實現一些業務系統【如:LNMP】或模擬線上的網絡環境等。
而本文模擬的就是IDC機房或辦公網的環境。機房內網服務器不能上外網,只能通過網關服務器上外網。而外網服務器想要訪問機房內部的服務器,也只能通過網關服務器轉發實現訪問。
2. iptables表和鏈的工作流程
2.1. 常用操作
## 清空所有規則【默認是filter表】 iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z ## 查看規則 iptables -nL iptables -nL -t nat ## 刪除指定表指定鏈的指定行數據 iptables -t nat -D POSTROUTING 1
3. 涉及虛擬機網絡設置
3.1. 內部服務器node01網絡設置
3.1.1. 內網設置【只有一個網卡】
備注:
使用LAN區段,那么本機登錄該虛擬機也不行,也ping不通,不在同一個網段不能互訪。只能通過網關服務器ssh跳轉登錄訪問。
eth0配置:
[root@InnerNode01 network-scripts]# cat ifcfg-eth0 DEVICE=eth0 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none IPV6INIT=yes USERCTL=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 GATEWAY=172.16.10.5 # 阿里雲DNS DNS1=223.5.5.5 DNS2=223.6.6.6
3.2. 網關服務器網絡設置
3.2.1. 內網設置
備注:
網關服務器的內網地址和內部服務器的地址在同一個網段。因此他們之間可以互訪。
eth0配置:
[zhang@gateway01 network-scripts]$ cat ifcfg-eth0 DEVICE=eth0 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none IPV6INIT=yes USERCTL=no IPADDR=172.16.10.5 NETMASK=255.255.255.0
3.2.2. 外網設置【模擬的公網】
eth1配置:
[root@gateway01 network-scripts]# cat ifcfg-eth1 DEVICE=eth1 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none IPV6INIT=yes USERCTL=no IPADDR=10.0.0.5 NETMASK=255.255.255.0 GATEWAY=10.0.0.2 # 阿里雲DNS DNS1=223.5.5.5 DNS2=223.6.6.6
3.3. 外網服務器設置
3.3.1. 外網設置【只有一個網卡】
eth0配置:
[root@internet01 network-scripts]# cat ifcfg-eth0 DEVICE=eth0 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none IPV6INIT=yes USERCTL=no IPADDR=10.0.0.8 NETMASK=255.255.255.0 GATEWAY=10.0.0.2 # 阿里雲DNS DNS1=223.5.5.5 DNS2=223.6.6.6
4. 簡單的NAT路由器
4.1. 網絡架構
4.2. NAT需求介紹
網關2個網絡接口
Lan口: 172.16.10.5/24 eth0
Wan口: 10.0.0.5/24 eth1
目的:實現內網中的節點服務器node01 IP:172.16.10.10(網段:172.16.10.0/24)可控的訪問internet。
4.3. 網關服務器操作
1、網關機器開啟linux的轉發功能
[root@gateway01 ~]# tail /etc/sysctl.conf # 添加如下內容 ………… net.ipv4.ip_forward = 1 [root@gateway01 ~]# sysctl -p # 生效
2、網關機器iptables操作
iptables -P FORWARD DROP
將FORWARD鏈的策略設置為DROP,這樣做的目的是做到對內網ip的控制,你允許哪一個訪問internet就可以增加一個規則,不在規則中的ip將無法訪問internet。
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
這條規則規定允許任何地址到任何地址的確認包和關聯包通過。一定要加這一條,否則你只允許lan IP訪問沒有用。
iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -j SNAT --to 10.0.0.5
這條規則做了一個SNAT,也就是源地址轉換,將來自172.16.10.0/24的地址轉換為10.0.0.5。
有這幾條規則,一個簡單的nat路由器就實現了。這時你可以將允許訪問的ip或網段添加至FORWARD鏈,他們就能訪問internet了。
iptables -A FORWARD -s 172.16.10.10 -j ACCEPT # 允許單個地址 或者如下命令 iptables -A FORWARD -s 172.16.10.0/24 -j ACCEPT # 允許該網段
比如我想讓172.16.10.10這個地址訪問internet,那么你就加如上的命令就可以了。
3、保存iptables規則
iptables-save > /etc/sysconfig/iptables
4.4. 內部服務器node01測試
[root@InnerNode01 ~]# ping www.baidu.com # 查看是否可以ping通 PING www.a.shifen.com (180.97.33.108) 56(84) bytes of data. 64 bytes from 180.97.33.108 (180.97.33.108): icmp_seq=1 ttl=127 time=43.4 ms 64 bytes from 180.97.33.108 (180.97.33.108): icmp_seq=2 ttl=127 time=42.6 ms 64 bytes from 180.97.33.108 (180.97.33.108): icmp_seq=3 ttl=127 time=42.1 ms ^C --- www.a.shifen.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2005ms rtt min/avg/max/mdev = 42.114/42.735/43.420/0.561 ms [root@InnerNode01 ~]# [root@InnerNode01 ~]# telnet www.baidu.com 80 # telnet 是否可行 Trying 112.34.112.40... Connected to www.baidu.com. Escape character is '^]'.
5. 端口轉發
5.1. 網絡架構
5.2. 端口轉發需求介紹
內部機器1個網絡接口
Lan內web server: 172.16.10.10:80
網關2個網絡接口
Lan口:172.16.10.5/24 eth0
Wan口:10.0.0.5/24 eth1
目的:對內部server進行端口轉發,實現internet 10.0.0.8(網段:10.0.0.0/24)用戶【模擬外網機器】訪問內網服務器172.16.10.10:80。
5.3. 網關服務器操作
1、網關機器開啟linux的轉發功能
[root@gateway01 ~]# tail /etc/sysctl.conf # 添加如下內容 ………… net.ipv4.ip_forward = 1 [root@gateway01 ~]# sysctl -p # 生效
2、網關機器iptables操作
iptables -P FORWARD DROP
將FORWARD鏈的策略設置為DROP,這樣做的目的是做到ip的控制,你允許哪一個訪問就可以增加一個規則,不在規則中的ip將無法訪問。
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
這條規則規定允許任何地址到任何地址的確認包和關聯包通過。一定要加這一條,否則你只允許lan IP訪問沒有用。
iptables -t nat -A PREROUTING -d 10.0.0.5 -p tcp --dport 80 -j DNAT --to 172.16.10.10:80
如果你要把訪問 10.0.0.5:80 的數據包轉發到Lan內web server,用上面的命令。
好了,命令完成了,端口轉發也做完了,本例能不能轉發呢?不能,為什么呢?我下面分析一下。
本例中我們的FORWARD策略是DROP。那么也就是說,沒有符合規則的包將被丟棄,不管內到外還是外到內。因此,我們需要加入下面的規則。
iptables -A FORWARD -d 172.16.10.10 -p tcp --dport 80 -j ACCEPT
3、保存iptables規則
iptables-save > /etc/sysconfig/iptables
5.4. 操作驗證
1、在內部服務器監聽80端口
## xshell標簽1操作 [root@InnerNode01 ~]# nc -l 80 # 保持持續監聽 ## xshell標簽2操作 [root@InnerNode01 ~]# netstat -lntup Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 808/rpcbind tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1971/nc ### 可見80端口已經監聽成功 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1099/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1355/master
2、在外網服務器Telnet
[zhang@internet01 ~]$ telnet 10.0.0.5 80 Trying 10.0.0.5... Connected to 10.0.0.5. Escape character is '^]'. ^] telnet> quit Connection closed.
由上可知,外網服務器(10.0.0.8)訪問內部服務器(172.16.10.10:80)成功。