和您见面希望您在这里可以感受到一份轻松愉快的氛围不仅可以获得有趣的内容和知识也可以畅所欲言、分享您的想法和见解。

推荐:Linux运维老纪的首页,持续学习,不断总结,共同进步,活到老学到老

导航剑指大厂系列:全面总结

运维核心技术:系统基础、数据库、网路技术、系统安全、自动化运维、容器技术、监控工具、脚本编程、云服务等。

zabbix、nagios、docker、k8s、puppet、ansible等

mysql

懒人运维系列:总结好用的命令,解放双手不香吗?能用一个命令完成绝不用两个操作

数据结构与算法系列:总结数据结构和算法,不同类型针对性训练,提升编程思维,剑指大厂

欢迎订阅本专栏

防火墙在很多时候承担着连接企业内、外网的重任除了提供数据包过滤功能以外还提供一些基本的网关应用。

本章将学习

Linux

发布位于内网的应用服务器。

本章还将学习防火墙脚本的使用。

首先介绍的是

SNAT

策略可以解决局域网共享上网的问题。

下面以一个小型的企业网络为例。

Linux

ens33、ens37

服务器必须打开路由转发才能沟通多个网络。

未使用地址转换策略时从局域网

PC如

中的主机收到这样的请求数据包后响应数据包将无法正确返回私有地址不能在

Internet

的数据包到达网关服务器时会先进行路由选择若发现该数据包需要从外网接口如

ens33向外转发则将其源

地址提交数据访问请求目标主机也可以正确返回响应数据包如下图所示。

最终实现局域网PC

共享同一个公网

映射将响应数据包正确返回局域网中的源主机。

因此只要连接的第一个包被

SNAT

的典型应用是为局域网共享上网提供接入策略处理数据包的切入时机是在路由选择之后POSTROUTING进行。

关键操作是将局域网外发数据包的源

SNAT

/proc/sys/net/ipv4/ip_forward或者[rootrhel01

~]#

net.ipv4.ip_forward1net.ipv4.ip_forward

1.2正确设置

命令中的一种数据包控制类型其作用是根据指定条件修改数据包的目标

策略概述

以下面这个小型企业网络为例考虑到应用的安全和稳定性公司将对外的网站服务器架设在一个内部网络中如下图所示公司对外只有一个公网

地址又需要使

中的客户机将无法访问公司内网的服务器除非在网关服务器中正确设置

DNAT

请求到达企业的网关服务器时网关首先判断数据包的目标地址和目标端口若发现该数据包需要访问本机的

端口则将其目标

192.168.1.6然后才发送给内部的网站服务器如下图所示。

在上述

中的客户机并不知道企业网站服务器的真实局域网地址中间的转换完全由网关主机完成。

通过设置恰当的

DNAT

中发布企业内部的服务器处理数据包的切入时机是在路由选择之前PREROUTING进行。

关键操作是将访问网关外网接口

iptables

地址但在需要时也可以修改目标端口号。

例如在上面所示的案例结构中为了方便服务器的远程管理网关、网站服务器都配置了

OpenSSH

种服务为了避免发生冲突就必须从端口上进行区分。

案例需求描述如下。

地址为

中远程管理网关服务器和网站服务器访问192.168.119.1的

2345

Internet因此不需要地址转换但网站服务器位于内网必须通过

DNAT

iptables-restore分别用来保存Save和恢复Restore

1iptables-save命令

命令的输出信息中以“#”号开头的内容表示注释“*表名”表示所在的

表“:链名

默认策略”表示相应的链及默认策略具体的规则部分省略了命令名“iptables”

iptables-save

命令只是把规则内容输出到屏幕上因此当需要保存为固定的文件时还应该结合重定向输出的操作以完成备份。

例如若要将当前已设置的所有防火墙规则备份为/opt/iprules_all.txt

[rootrhel01

服务使用的规则文件位于/etc/sysconfig/iptables

文件中配置格式与

备份为默认的规则配置文件/etc/sysconfig/iptables然后就可以通过

iptables

服务来调用。

例如执行以下操作将保存当前的防火墙规则并设置在每次开机后根据已保存的规则内容自动进行重建。

[rootrhel01

/etc/sysconfig/iptables[rootrhel01

~]#

~]#当需要启用/etc/sysconfig/iptables

iptables

在调试各种防火墙规则的过程中为了排除其他规则的干扰有时候需要清空某些表的规则。

当需要一次清空所有表的规则时停用

iptables

(/usr/lib/systemd/system/iptables.service;

enabled;

ExecStop/usr/libexec/iptables/iptables.init

stop

变量、程序控制逻辑另外其作为独立的文件在需要重用、移植使用时会非常方便这也是作为

Shell

调整、规则设置等多个部分过于简化的脚本可能仅包括规则设置部分下面分别进行介绍。

1定义基本变量

命令的路径等定义为变量便于对脚本程序的维护和移植使用特别是当规则较多的时候。

一旦网络环境发生变化如公网

[rootrhel01

//内网接口网段LAN_WWW_IP192.168.23.10

设置好相关的变量以后在后续的脚本内容中就可以直接引用了。

为了提高脚本代码的可读性除了添加必要的注释之外变量名称最好使用有一定含义的字符串。

2加载内核模块

命令的大部分模块都可以根据需要动态载入内核只有个别模块需要手动进行加载如与

FTP

果需要启用的规则数量较多为了提高规则设置的效率保持防火墙的稳定性建议将用到的各种模块提前加载到内核中。

$MOD

下存放着与系统相关的一些可控参数可以直接用来改变内核的行为通常作为

Linux

参数调整更多细节、调优操作此处不做过多介绍有兴趣的请参阅其他资料。

[rootrhel01

net.ipv4.icmp_echo_ignore_broadcasts

//拒绝响应ICMP广播$CTL

net.ipv4.tcp_max_syn_backlog3200

上述脚本内容中ICMP

在脚本文件中建议按照不同的表、链来分块组织各种防火墙规则具体内容应根据用户的实际需求决定。

为了避免已有的防火墙规则造成干扰通常会预先安排一个“清理”操作删除所有表中用户自定义的链清空所有链内的规则。

$IPT

在实际生产环境中防火墙过滤规则建议采取“默认拒绝”的策略可以获得更好的安全性。

这就要求我们充分熟悉相关应用服务、网络协议才能够识别合法数据包制定出既防

$IPT

需要说明的是在实际应用过程中不要过于生硬地照搬他人脚本内容应根据实际情况进行有针对性的设计并做好整体测试避免因规则不当而导致网络通信故障。

脚本文件编写完成以后为其添加“x”可执行权限就可以用来批量设置防火墙规则了。

若要使脚本文件在每次开机后自动运行可以将脚本路径写入/etc/rc.local

[rootrhel01

熟悉了防火墙脚本的基本构成之后下面将展示一个简单的防火墙脚本文件——“主机

filter

1.定义基本变量IPT/sbin/iptablesCTL/sbin/sysctl#

2.调整/proc参数$CTL

net.ipv4.tcp_synack_retries3$CTL

net.ipv4.tcp_max_syn_backlog3200#

3.1

以上防火墙脚本示例中仅列出其中最基础的一些规则。

更多具体的规则设置取决于实际的应用需求还有待大家在实际工作中慢慢去体会逐渐融会贯通。