Iptables實(shí)現(xiàn)網(wǎng)絡(luò)防火墻

IT那活兒發(fā)布于2023-01-11 13:20 / 2499人閱讀

點(diǎn)擊上方“IT那活兒”，關(guān)注后了解更多精彩內(nèi)容?。?/span>

前言

防火墻從邏輯上講分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻。

主機(jī)防火墻：針對(duì)單個(gè)主機(jī)進(jìn)行防護(hù)。

網(wǎng)絡(luò)防火墻：針對(duì)于網(wǎng)絡(luò)入口進(jìn)行防護(hù)，服務(wù)于防火墻背后的本地局域網(wǎng)。

網(wǎng)絡(luò)防火墻往往處于網(wǎng)絡(luò)的入口或者邊緣，那么，如果想要使用iptables充當(dāng)網(wǎng)絡(luò)防火墻，iptables所在的主機(jī)則需要處于網(wǎng)絡(luò)入口處，如圖所示：

PC1作為iptables所在主機(jī)，此時(shí)iptables充當(dāng)?shù)慕巧礊榫W(wǎng)絡(luò)防火墻，圖中的圓圈表示網(wǎng)絡(luò)防火墻所防護(hù)的網(wǎng)絡(luò)區(qū)域，圈里面是網(wǎng)絡(luò)內(nèi)的主機(jī)。

當(dāng)外部網(wǎng)絡(luò)中的主機(jī)與網(wǎng)絡(luò)內(nèi)部主機(jī)通訊時(shí)，不管是由外部主機(jī)發(fā)往內(nèi)部主機(jī)的報(bào)文，還是由內(nèi)部主機(jī)發(fā)往外部主機(jī)的報(bào)文，都需要經(jīng)過iptables所在的主機(jī)，由iptables所在的主機(jī)進(jìn)行“過濾并轉(zhuǎn)發(fā)”，所以，防火墻主機(jī)的主要工作就是“過濾并轉(zhuǎn)發(fā)”。

當(dāng)iptables作為主機(jī)防火墻時(shí)，所用到的鏈?zhǔn)荌NPUT鏈與OUTPUT鏈，因?yàn)閾碛小斑^濾功能”的鏈只有3條，INPUT、OUTPUT、FORWARD，當(dāng)報(bào)文發(fā)往本機(jī)時(shí)，如果想要過濾，只能在INPUT鏈與OUTPUT鏈中實(shí)現(xiàn)；

但當(dāng)iptables作為網(wǎng)絡(luò)防火墻時(shí)，所做的工作是“過濾并轉(zhuǎn)發(fā)”，要想“過濾”，只能在INPUT、OUTPUT、FORWARD三條鏈中實(shí)現(xiàn)，要想”轉(zhuǎn)發(fā)”，報(bào)文則只會(huì)經(jīng)過FORWARD鏈（發(fā)往本機(jī)的報(bào)文才會(huì)經(jīng)過INPUT鏈），所以，綜上所述，iptable座位網(wǎng)絡(luò)防火墻時(shí)，規(guī)則只能定義在FORWARD鏈中。

準(zhǔn)備環(huán)境

三臺(tái)虛擬機(jī)

外網(wǎng)機(jī)：Centos7 1號(hào)機(jī) ip 192.168.1.1

中間機(jī)：Centos7 2號(hào)機(jī) ip 192.168.1.2 192.168.42.128

內(nèi)網(wǎng)機(jī)：Centos7 3號(hào)機(jī)ip 192.168.42.129

設(shè) 定

Centos7 1號(hào)機(jī)是一臺(tái)外網(wǎng)的服務(wù)器。

Centos7 3號(hào)機(jī)是內(nèi)網(wǎng)的一臺(tái)主機(jī)。

Centos7 2號(hào)機(jī)所處的內(nèi)網(wǎng)中的與外網(wǎng)相連的主機(jī)（即防火墻）。

192.168.1.0/24是外網(wǎng)。192.168.42.0/24是內(nèi)網(wǎng)。

我們通過1號(hào)機(jī)去訪問3號(hào)機(jī)，但要經(jīng)過2號(hào)機(jī)進(jìn)行轉(zhuǎn)發(fā)，2號(hào)機(jī)在轉(zhuǎn)發(fā)報(bào)文時(shí)會(huì)進(jìn)行過濾，以實(shí)現(xiàn)網(wǎng)絡(luò)防火墻的功能。

步驟