iptables_nat及端口映射.docVIP

iptables nat及端口映射 发布: 2010-6-11 15:05 | 作者: admin | 来源: SF NetWork 门户网站 iptables 应用初探（nat+三层访问控制） iptables是一个Linux下优秀的nat+防火墙工具，我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得，看了网上也有很多这方面的文章，但是似乎要么说的比较少，要么就是比较偏，内容不全，容易误导，我研究了一段时间的iptables同时也用了很久，有点滴经验，写来供大家参考，同时也备日后自己翻阅。 首先要说明的是，iptables操作的是2.4以上内核的netfilter.所以需要linux的内核在2.4以上。其功能与安全性远远比其前辈 ipfwadm,ipchains强大，iptables大致是工作在OSI七层的二、三、四层，其前辈ipchains不能单独实现对 tcp/udp port以及对mac地址的的定义与操作，所以我想ipchains应该是仅仅工作在三层上的。 我们先简单介绍一下netfilter的大致工作流程，也就是一个数据包（或者叫分组、packet,我个人习惯叫包）在到达linux的网络接口的时候（网卡）如何处理这个包，然后再介绍一下如何用iptables改变或者说控制对这个数据包进行操作。netfilter内部分为三个表，分别是 filter,nat,mangle，每个表又有不同的操作链（Chains）。在filter（过滤）表中，也就是他的防火墙功能的这个表，定义了三个 Chain。分别是INPUT,FORWARD,OUTPUT。也就是对包的入、转发、出进行定义的三个过滤链。对于这个filter表的操作和控制也是我们实现防火墙功能的一个重要手段；在nat(Network Address Translation、网络地址翻译)表中，也就是我们用以实现地址转换和端口转发功能的这个表，定义了PREROUTING, POSTROUTING,OUTPUT三个链,下面我们会对这三个链作详细的说明；而 netfilter的mangle表则是一个自定义表，里面包括上面的filter以及nat表中的各种chains,它可以让我们进行一些自定义的操作，同时这个mangle表中的chains在netfilter对包的处理流程中处在一个比较优先的位置，下面有一张图清晰的描绘了netfilter 对包的处理流程，一般情况下，我们用不到这个mangle表，在这里我们就不做介绍了。 090117233100.jpg ??? ? 大家可以看到，PREROUTING这个chain在最前面，当一个包来到linux的网络接口的时候先过mangle的PREROUTING,然后是 nat的 PREROUTING,从这个chain的名字我们可以看出，这个chain是在路由之前(pre-routing)要过的。为什么要在路由之前过呢？大家可以看到这个图上，上面有一个菱形的部分叫ROUTING,这个ROUTING部分就是Linux的route box,也就是路由系统，它同样有很高深的功能，可以实现策略路由等等一些高级特性，此处我们不做详细解释。单说这个PREROUTING链，因为在这个链里面我们对包的操作是DNAT,也就是改变目的地址和（或端口），通常用在端口转发，或者nat到内网的DMZ区，也就是说当一个包过来的时候我们要改变它的目的地址，大家可以想想,如果一个包在改变目的地址之前就被扔进了route box,让系统选好路之后再改变目的地址，那么选路就可能是错的，或者说毫无意义了，所以，PREROUTING这个Chain一定要在进Routing 之前做。比如说，我们的公网ip是/24,位于linux中的 eth0,内网ip是/24位于linux中的eth1, 我们的内网有一台web服务器，地址是/24,我们怎么样能让internet用户通过这个公网ip访问我们内部的这个web服务器呢？我们就可以在这个PREROUTING链上面定义一个规则，把访问 :80的用户的目的地址改变一下，改变为:80,这样就实现了internet用户对内网服务器的访问了，当然了，这个端口是比较灵活的，我们可以定义任何一个端口的转发，不一定是80--80，具体的命令我们在下面的例子中介绍，这里我们只谈流程与概念上的实现方法。? ? 好了，我们接着往下走，这个包已经过了两个PREROUTING链了，这个时候，出现了一个分支转折的地方，也就是图中下方的那个菱形（FORWARD）,转发！这里有一个对目的地址的判断（这里同样说明了PREROUTING一定要在最先，不仅要在route box之前，甚