Linux操作系統(tǒng)安全配置 課件 04-004-使用NAT技術(shù)防護(hù)企業(yè)內(nèi)部服務(wù)器

單擊此處編輯母版標(biāo)題樣式

使用NAT技術(shù)防護(hù)企業(yè)內(nèi)部服務(wù)器學(xué)習(xí)內(nèi)容應(yīng)用場景0102NAT技術(shù)03防護(hù)企業(yè)內(nèi)部服務(wù)器04總結(jié)應(yīng)用場景1某公司需要Internet接入，由ISP分配IP地址。采用iptables作為NAT服務(wù)器接入網(wǎng)絡(luò)，內(nèi)部采用/24地址，外部采用/24地址。為確保安全需要配置防火墻功能，要求從外部網(wǎng)絡(luò)地址http://能訪問內(nèi)部Web服務(wù)器，為實(shí)現(xiàn)負(fù)載均衡，內(nèi)部2臺Web服務(wù)器分別為01:8080和02:8080，兩臺Web服務(wù)器提供的服務(wù)相同。NAT服務(wù)器通過端口映射方式對外提供服務(wù)。應(yīng)用場景1

NAT技術(shù)2NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）恰恰是出于某種特殊需要而對數(shù)據(jù)包的源IP地址、目的IP地址、源端口、目的端口進(jìn)行改寫的操作。NAT位于使用專用地址的Intranet和使用公用地址的Internet之間，主要具有以下幾種功能。（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務(wù)器和負(fù)載均衡。（4）實(shí)現(xiàn)透明代理

NAT技術(shù)2（1）NAT的分類①SNAT（SourceNAT，源地址轉(zhuǎn)換）。SNAT指修改第一個(gè)包的源IP地址。SNAT會在包送出之前的最后一刻做好Post-Routing的動(dòng)作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。所謂SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址。②DNAT（DestinationNAT，目的地址轉(zhuǎn)換）。DNAT是指修改第一個(gè)包的目的IP地址。DNAT總是在包進(jìn)入后立刻進(jìn)行Pre-Routing動(dòng)作。端口轉(zhuǎn)發(fā)、負(fù)載均衡和透明代理均屬于DNAT。DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址。

NAT技術(shù)2（2）NAT原理

NAT技術(shù)2（2）NAT原理用戶使用iptables命令設(shè)置NAT規(guī)則，這些規(guī)則都存儲在nat表中。設(shè)置的這些規(guī)則都具有目標(biāo)動(dòng)作，它們告訴內(nèi)核對特定的數(shù)據(jù)包做什么操作。根據(jù)規(guī)則所處理的信息包類型，可以將規(guī)則分組存放在鏈中。①要做源IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到POSTROUTING鏈中。②要做目的IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到PREROUTING鏈中。③直接從本地出去的數(shù)據(jù)包的規(guī)則被添加到OUTPUT鏈中。

NAT技術(shù)2（3）NAT命令語法

iptables[-t表名]<-A鏈名>[-i/o網(wǎng)卡名稱][-p協(xié)議類型][-s源IP地址/子網(wǎng)][--sport源端口號][-d目標(biāo)IP/子網(wǎng)][--dport目標(biāo)端口][-j動(dòng)作]①對規(guī)則的操作

-A：加入（append）一個(gè)新規(guī)則到一個(gè)鏈的最后；

-I：在鏈內(nèi)某個(gè)位置插入（insert）一個(gè)新規(guī)則，通常是插在最前面；

-R：在鏈內(nèi)某個(gè)位置替換（replace）一條規(guī)則；

-D：在鏈內(nèi)某個(gè)位置刪除（delete）一條規(guī)則。

NAT技術(shù)2（3）NAT命令語法

iptables[-t表名]<-A鏈名>[-i/o網(wǎng)卡名稱][-p協(xié)議類型][-s源IP地址/子網(wǎng)][--sport源端口號][-d目標(biāo)IP/子網(wǎng)][--dport目標(biāo)端口][-j動(dòng)作]②指定源地址和目的地址通過--source/--src/-s來指定源地址，通過--destination/--dst/-s來指定目的地址?？梢允褂靡韵滤闹蟹椒▉碇付↖P地址:使用完整的域名，如“”；使用IP地址，如“”；用X.X.X.X/X.X.X.X指定一個(gè)網(wǎng)絡(luò)地址，如“/”；用X.X.X.X/X指定一個(gè)網(wǎng)絡(luò)地址，如“/24”這里的24表明了子網(wǎng)掩碼的有效位數(shù)，缺省的子網(wǎng)掩碼數(shù)是32。IP：等效于/32。防護(hù)企業(yè)內(nèi)部服務(wù)器3在Linux服務(wù)器上分別設(shè)置ens33和ens37兩塊網(wǎng)卡的IP地址防護(hù)企業(yè)內(nèi)部服務(wù)器3在/etc/rc.d/目錄下生成空的腳本文件dnat.sh，并對該文件添加可執(zhí)行權(quán)限。防護(hù)企業(yè)內(nèi)部服務(wù)器3編輯/etc/rc.d/rc.local文件，使dnat.sh腳本能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行防護(hù)企業(yè)內(nèi)部服務(wù)器3修改/etc/sysctl.conf文件內(nèi)容，添加“net.ipv4.ip_forward=1”。開啟內(nèi)核轉(zhuǎn)發(fā)，系統(tǒng)在每次開機(jī)后能自動(dòng)激活I(lǐng)P數(shù)據(jù)包轉(zhuǎn)發(fā)功能。防護(hù)企業(yè)內(nèi)部服務(wù)器3執(zhí)行以下命令來啟用sysctl.conf文件中的改變防護(hù)企業(yè)內(nèi)部服務(wù)器3增加訪問規(guī)則，編輯/etc/rc.d/dnat.sh文件，添加以下內(nèi)容防護(hù)企業(yè)內(nèi)部服務(wù)器3重新載入配置，使規(guī)則生效防護(hù)企業(yè)內(nèi)部服務(wù)器3客戶端測試。公司內(nèi)部客戶端IP：1訪問Web服務(wù)器，地址分別為01:8080和02:8080。防護(hù)企業(yè)內(nèi)部服務(wù)器3客戶