RHEL5.7下iptabels防火墙配置(下).doc

RHEL5.7下iptabels防火墙配置（下） 上一篇讲了iptables防火墙对于单个主机的应用，现在来学习一下将iptables防火墙作为网关防火墙使用。这时iptables防火墙不仅仅是保护一台主机了，而是保护整个网络，充当网关这样的角色。责任相当更加重大，同时需求也提升了很多。linux防火墙的NAT功能 有关NAT地址转换的知识在这里就不多说了，我们知道这个一般都是在路由器上实现的，而linux主机同样可以实现这个功能。iptables防火墙中有3张内置的表:filter、nat和mangle，其中的nat表实现了地址转换的功能。nat表包含PREROUTING、OUTPUT和POSTROUTING 3条链，里面包含的规则指出了如何对数据包的地址进行转换。1、SNAT  源NAT的规则在POSTROUTING链中定义。这些规则的处理是在路由完成后进行的，可以使用-j SNAT目标动作对匹配的数据包进行源地址转换。如果希望内网/24出去的数据包其源IP地址都转换外网接口eth0的固定公网IP地址5，采用-j POSTOUTING”目标动作，则需要执行以下iptables命令：iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT --to-source 5以上命令中，-t nat指定使用的是nat表，-A POSTROUTING表示在POSTROUTING链中添加规则，--to-source 5表示把数据包的源IP地址转换为5，而根据-s选项的内容，匹配的数据包其源IP地址应该是属于/24子网的。还有，-o eth0指定了只有从eth0接口出去的数据包才做源NAT转换,转换后的公网地址直接是eth0的公网IP地址。**************************************************************************************除了转换为eth0的公网地址外，也可以使用其他地址，例如，4。此时，需要为eth0创建一个子接口，并把IP地址设置为4，使用的命令如下所示：ifconfig eth0:1 4 netmask 40以上命令使eth0接口拥有两个公网IP。也可以使用某一IP地址范围作为转换后的公网地址，此时要创建多个子接口，并对应每一个公网地址。而--to-source选项后的参数应该以a.b.c.x-a.b.c.y的形式出现。**************************************************************************************前面介绍的是数据包转换后的公网IP是固定的情况。如果公网IP地址是从ISP服务商那里通过ADSL拨号动态获得的，则每一次拨号所得到的地址是不同的，并且网络接口也是在拨号后才产生的。在这种情况下，前面命令中的--to-source选项将无法使用。为了解决这个问题，iptables提供了另一种称为IP伪装的源NAT，其实现方法是采用-j MASQUERADE目标动作，具体命令如下所示。iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE以上命令中，MASQUERADE意为伪装，ppp0是拨号成功后产生的虚拟接口，其IP地址是从ISP服务商那里获得的公网IP。-j MASQUERADE表示把数据包的源IP地址改为ppp0接口的IP地址。2、DNAT 目的NAT改变的是数据包的目的IP地址，当来自Internet的数据包访问NAT服务器网络接口的公网IP时，NAT服务器会把这些数据包的目的地址转换为某一对应的内网IP，再路由给内网计算机。这样，使用内网IP地址的服务器也可以为Internet上的计算机提供网络服务了。如果大家学习过硬件防火墙的话，会知道有一个DMZ区域，可以将内部对外的服务器放在这个区域映射出去。同理，iptables防火墙也可以实现同样的功能。-j DNAT指定了目标动作是DNAT，表示要对数据包的目的IP进行修改，它的子选项--to 表示修改后的IP地址是。于是，目的IP修改后，接下来将由路由模块把数据包路由给服务器。假设IP为的计算机需要为Internet提供网络服务，此时，可以规定一个公网IP地址，使其与建立映射关系，采用-j PREROUTING”目标动作。假设使用的公网IP是4，则配置目的NAT的命令如下：iptables -t nat -A PREROUTING -i eth0 -d 4/32 -j DNAT --to  以上是在PREROUTING链中添加规则，