文章目录

• 一、SNAT 的原理及应用
• • 1.概述
  • • 1.1 只开启路由转发，未设置地址转换的情况
    • 1.2 开启路由转发，并设置 SNAT 转发的情况
  • 2.应用
  • • 2.1 共享固定 IP 地址上网
    • • 2.1.1 打开网关的路由转发
      • 2.1.2 正确设置 SNAT 策略
      • 2.1.3 测试 SNAT 共享接入结果
    • 2.2 共享动态 IP 地址上网
• 二、DNAT 的原理及应用
• • 1.概述
  • 2.应用
  • • 2.1 发布企业内部的 Web 服务器
    • • 2.1.1 打开网关的路由转发
      • 2.1.2 正确设置 DNAT 策略
      • 2.1.3 测试 DNAT 发布结果
    • 2.3 发布时修改目标端口
• 三、规则的导出与导入（即备份与恢复）
• • 1.规则的备份及还原
  • • 1.1 iptables-save 命令
    • 1.2 iptables-restore 命令
  • 2.使用 iptables 服务
  • • 2.1 自动启用防火墙规则
    • 2.2 清空所有防火墙规则

---

Linux 防火墙在很多时候承担着连接企业内、外网的重任，除了提供数据包过滤功能以外，还提供一些基本的网关应用

一、SNAT 的原理及应用

• SNAT（Source Network Address Translation，源地址转换）是 Linux 防火墙的一种地址转换操作，也是 iptables 命令中的一种数据包控制类型
• 其作用是根据指定条件修改数据包的源 IP 地址

1.概述

• 随着 Internet 网络在全世界范围内的快速发展，IPv4 协议支持的可用IP地址资源
  逐渐变少，资源匮乏使得许多企业难以申请更多的公网 IP 地址，或者只能承受一个或者少数几个公网 IP 地址的费用
• 而与此同时，大部分企业面临着将局域网内的主机接入 Internet 的需求
• 通过在网关中应用 SNAT 策略，可以解决局域网共享上网的问题
• 下面假设一个小型的企业网络为例：Linux 网关服务器通过两块网卡 ens33、ens33:0 分别连接 Internet 和局域网

1.1 只开启路由转发，未设置地址转换的情况

• 正常情况下，作为网关的 Linux 服务器必须打开路由转发，才能沟通多个网络
• 未使用地址转换策略时，从局域网 PC 访问 Internet 的数据包经过网关转发后其源 IP 地址保持不变，当 Internet 中的主机收到这样的请求数据包后，响应数据包将无法正确返回（私有地址不能在 Internet 中正常路由），从而导致访问失败

1.2 开启路由转发，并设置 SNAT 转发的情况

• 如果在网关服务器中正确应用 SNAT 策略，数据包转发情况就不一样了
• 当局域网 PC 访问 Internet 的数据包到达网关服务器时，会先进行路由选择，若发现该数据包
  需要从外网接口向外转发，则将其源 IP 地址修改为网关的外网接口地址，然后才发送给目标主机
• 相当于从网关服务器的公网 IP 地址提交数据访问请求，目标主机也可以正确返回响应数据包
• 最终实现局域网 PC 共享同一个公网 IP 地址接入 Internet
• 在上述 SNAT 转换地址的过程中，网关服务器会根据之前建立的 SNAT 映射，将响应数据包正确返回局域网中的源主机（怎么样，想到三层交换机了吗）
• 因此，只要连接的第一个包被 SNAT 处理了，那么这个连接及对应数据流的其他包也会自动地被进行 SNAT 处理
• 另一方面，Internet 中的服务器并不知道局域网 PC 的实际 IP 地址，中间的转换完全由网关主机完成，一定程度上也起到了保护内部网络的作用

2.应用

• SNAT 的典型应用是为局域网共享上网提供接入策略，处理数据包的切入时机是在路由选择之后（POSTROUTING)进行
• 关键操作是将局域网外发数据包的源 IP 地址（私有地址）修改为网关服务器的外网接口 IP 地址（公有地址）
• SNAT 策略只能用在 nat 表的 POSTROUTING 链，使用 iptables 命令编写 SNAT
  策略时，需要结合“–to-source IP地址”选项来指定修改后的源 IP 地址

2.1 共享固定 IP 地址上网

2.1.1 打开网关的路由转发

• 对于 Linux 服务器，IP 转发是实现路由功能的关键所在，对应为／proc 文件系统
  中的 ip_forward 设置，当值为 1 时表示开启，为 0 时表示关闭
• 若要使用 Linux 主机作为网关设备，必然需要开启路由转发
• 例如，可以修改 sysctl.conf 配置文件，永久打开路由转发功能

vim /etc/sysctl.conf
...
net.ipv4.ip_forward =1 
#将此行写入配置文件，0改为1


sysctl -p                   #读取修改后的配置


#临时开启路由转发
echo 1> /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

2.1.2 正确设置 SNAT 策略

• 通过分析得知，需要针对局域网 PC 访问 Internet 的数据包采取 SNAT 策略，将源地址更改为网关的公网IP地址，参考以下操作在网关中设置防火墙规则
• 若要保持
  SNAT 策略长期有效，应将相关命令写入到 rc.local 配置文件，以便开机后自动设置

iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                    #内网IP       出站 外网网卡                      外网IP或地址池

2.1.3 测试 SNAT 共享接入结果

• 上述操作完成以后，使用局域网中的 PC 就可以正常访问 Internet 中的网站了
• 对
  于被访问的网站服务器来说，将会认为是网关主机在访问（可观察 Web
  日志获知），而并不知道实际上是企业内网的 PC 在访问

2.2 共享动态 IP 地址上网

• 在某些情况下，网关的外网 IP 地址可能并不是固定的，如使用 ADSL 宽带接入时
• 那么在这种网络环境下，应该如何设置 SNAT 策略呢？
• 针对这种需求，iptables 命
  令提供了一个名为 MASQUERADE(伪装）的数据包控制类型
• MASQUERADE 相当
  于 SNAT 的一个特例，同样用来修改（伪装）数据包源 IP 地址，只不过它能够自动获
  取外网接口的 IP 地址，而无须使用“－－to-source”指定固定的 IP 地址
• 参照上一个 SNAT 案例，若要使用 MASQUERADE 伪装策略，只需去掉 SNAT 策
  略中的“－to-source IP地址”，然后改用“－j MASQUERADE”指定数据包控制类型

iptables-t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j MASQUERADE

• 当然，如果网关使用固定的公网 IP 地址，最好选择 SNAT 策略而不是 MASQUERADE 策略，以减少不必要的系统开销

---

二、DNAT 的原理及应用

• DNAT (Destination Network Address Translation, 目标地址转换）是 Linux 防火墙的另一种地址转换操作，同样也是 iptables 命令中的一种数据包控制类型
• 其作用是根据指定条件修改数据包的目标IP地址和目标端口

1.概述

• DNAT 策略与 SNAT 非常相似，只不过应用方向相反
• SNAT 用来修改源 IP 地址，而 DNAT 用来修改目标 IP 地址和目标端口
• SNAT 只能用在 nat 表的 POSTROUTING 链中，而 DNAT 只能用在 nat 表的 PREROUTING 链和 OUTPUT链（或被其调用的链）中
• 下面以一个小型企业网络为例，考虑到应用的安全和稳定性，公司将对外
  的网站服务器架设在一个内部网络中，公司对外只有一个公网 IP 地址，
  又需要使 Internet 中的客户机能够访问公司的网站
• 在 Internet 环境中，企业所注册的网站域名必须对应合法的公网 IP 地址，在这种情况下，Internet 中的客户机将无法访问公司内
  网的服务器，除非在网关服务器中正确设置 DNAT 策略
• 使用 DNAT 策略的效果如下：当 Internet 中的客户机提交的 HTTP 请求到达企业的网关服务器时，网关首先判断数据包的目标地址和目标端口，若发现该数据包需要访问本机的 80 端口，则将其目标 IP 地址修改为内网中真正的网站服务器的 IP 地址，然后才发送给内部的网站服务
• 在上述 DNAT 转换地址的过程，网关服务器会根据之前建立的 DNAT 映射，修改返回的 HTTP 应答数据包的源 IP 地址，最后再返回给 Internet 中的客户机
• Internet 中的客户机并不知道企业网站服务器的真实局域网地址，中间的转换完全由网关主机完成
• 通过设置恰当的 DNAT 策略，企业内部的服务器就可以面向 Internet 提供服务了

2.应用

• 从上一小节的介绍中，我们大致可以了解 DNAT 的典型应用是在 Internet 中发布企业内部的服务器，处理数据包的切入时机是在路由选择之前（PREROUTING)进行
• 关键操作是将访问网关外网接口 IP 地址（公有地址）的数据包的目标地址修改为实际提供服务的内部服务器的 IP 地址（私有地址）
• 使用 iptables 命令设置 DNAT 策略时，需要结合“–to-destination IP地址”选项来指定内部服务器的 IP 地址（如 -j DNAT --to-destination IP地址)

2.1 发布企业内部的 Web 服务器

需求描述如下：

• 公司注册的网站域名为 www.xcf.com，IP 地址为 12.0.0.1（网关 ens33:0）
• 公司的网站服务器位于局域网内，IP 地址为 192.168.126.11
• 要求能够从 Internet 中通过访问 www.xcf.com 来查看公司的网站内容
• 根据上述环境，推荐的操作步骤如下：

2.1.1 打开网关的路由转发

vim /etc/sysctl.conf
...
net.ipv4.ip_forward =1 
#将此行写入配置文件，0改为1


sysctl -p                   #读取修改后的配置

2.1.2 正确设置 DNAT 策略

• 通过分析得知，需要针对 Internet 中的任意主机访问网关80端口的数据包，将目标地址修改为位于内网的网站服务器的 IP 地址，网关的防火墙参考规则如下所示

iptables -t nat -A PREROUTING -i ens33:0 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.126.11
	                         入站 外网网卡  外网IP                                              内网服务器IP

2.1.3 测试 DNAT 发布结果

• 在网站服务器 192.168.126.11 中正确配置、启动 Web 服务，并提供测试网页，如在首页文件 index.html 中加入识别标记
• 然后通过 Internet
  中的客户机访问网站 http://www.xcf.com(如果没有做 DNS 解析，也可以直接访问
  12.0.0.1)
• 在浏览器中看到的将会是实际由网站服务器 192.168.126.11 提供的页面内容

2.3 发布时修改目标端口

#发布局域网内部的OpenssH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.126.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1
yum -y install net-tools        #若没有ifconfig命令可提前使用yum进行安装
ifconfig ens33

#注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回

#小知识扩展：
#主机型防火墙主要使用INPUT，OUTPUT链，设置规则时一般要详细的指定到端口
#网络型防火墙主要使用FORWARD链，设置规则时很少去指定到端口，一般指定到IP地址或者到网段即可

---

三、规则的导出与导入（即备份与恢复）

在 Linux 系统中， iptables 为我们提供了批量备份与恢复规则的命令，也提供了标准的系统服务以便开启、关闭防火墙功能

1.规则的备份及还原

• 防火墙规则的批量备份、还原用到两个命令，即 iptables-save 和 iptables-restore
• 分别用来保存（Save）和恢复（Restore）

1.1 iptables-save 命令

• iptables-save 命令用来批量导出 Linux 防火墙规则
• 直接执行 iptables-save save 命令时，将显示出当前启用的所有规则

iptables-save

• 在 iptables-save 命令的输出信息中，以“＃”号开头的内容表示注释，“＊表名”表示所在的表，”:链名 默认策略”表示相应的链及默认策略，具体的规则部分省略了命令名“iptables”，后面的“COMMIT”表示提交前面的规则设置
• 由于 iptables-save 命令只是把规则内容输出到屏幕上，因此当需要保存为固定的文件时，还应该结合重定向输出的操作以完成备份
• 例如，若要将当前已设置的所有防火墙规则备份为opt/ipt.txt 文件，可以执行以下操作

iptables-save > /opt/ipt.txt
#备份所有表的规则

1.2 iptables-restore 命令

• iptables-restore 命令用来批量导入 Linux 防火墙规则，如果已经使用 iptables-save 命令导出备份文件，则恢复规则的过程在一瞬间就能完成
• 与 iptables–save 命令相对的 iptables-restore 命令也应结合重定向输入来指定备份文件的位置

iptables-restore < /opt/ipt.txt
#从备份文件恢复规则

2.使用 iptables 服务

• 通过名为 iptables 的系统服务，可以快速启用、清空防火墙规则
• iptables 服务使用的规则文件位于 /etc/sysconfig/iptables 文件中，配置格式与 iptables-save 命令输出的一致

2.1 自动启用防火墙规则

• 在服务器中调试好各种 iptables 规则以后，使用 iptables-save 备份为默认的规则配置文件 etc/sysconfig/iptables，然后就可以通过 iptables 服务来调用
• 例如，执行以下操作将保存当前的防火墙规则，并设置在每次开机后根据已保存的规则内容自动进行重建

iptables-save > /etc/sysconfig/iptables

2.2 清空所有防火墙规则

• 在调试各种防火墙规则的过程中，为了排除其他规则的干扰，有时候需要清空某些表的规则
• 当需要一次清空所有表的规则时，停用 iptables 服务是最快捷的方法，也是最彻底的方法

systemctl stop iptables   
#停止iptables服务会清空掉所有表的规则

systemctl start iptables  
#启动iptables服务会自动还原/etc/sysconfig/iptables中的规则