DAY21 linux netfilter II - daniel-qa/Network GitHub Wiki

DAY21 今天要補充netfilter的其它操作 昨天有說到netfilter它非常的強大，可以做到很多事情，我就先從(filter)連線這邊開始說起。

下面是為了簡單阻擋DDoS攻擊所修改出來的規則，這樣子限制無非是降低了伺服器的存取量， 但也是為了保護伺服器不輕易被擊潰所做出的取捨調整，修改完後大家仍然是可以連接到TCP-80 以及 TCP -443， 但會因為限制的關係，速度會相對的較為緩慢。

#80_Port可以有新連線，但有封包限制，當連線數超過100時，啟動每分鐘僅允許25個不連續的封包通過。

iptables -t filter -A INPUT -p tcp -m limit --limit 25/m --limit-burst 100 -m state --state NEW -m tcp --dport 80 -j ACCEPT

#443_Port可以有新連線，但有封包限制，當連線數超過100時，啟動每分鐘僅允許25個不連續的封包通過。

iptables -t filter -A INPUT -p tcp -m limit --limit 25/m --limit-burst 100 -m state --state NEW -m tcp --dport 443 -j ACCEPT

再來就簡單說明一下NAT的功能，以及proxy的方法(proxy可以與明天介紹的proxy相互使用) 在做這件事情之前我們要記得去將forward功能打開

#vim /etc/sysctl.conf

修改這個設定檔當中的這個設定，將其0改成1

net.ipv4.ip_forward = 1

然後再馬上套用

#sysctl -p

NAT模式與我們進行防火牆連線限制的是在不同的type當中，從-t後面帶的nat可以看的出來

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

那NAT最一般的用法就是下列這個方法，只要是172.16.100.0/24網段的請幫我進行NAT的動作。 這邊是用 MASQUERADE，它會將 172.16.100.0/24 偽裝成eth0上的IP位置，然後連線出去。 這個是最簡單的方法。

iptables -t nat -A POSTROUTING -s 172.16.100.0/24 -o eth0 -j MASQUERADE

或者 (這邊我捫把　10.10.10.10 假設為可以連結外網的IP位址) 而這個設定就是將我內部網段(172.16.100.0)包裝成10.10.10.10然後連線出去。

iptables -t nat -A POSTROUTING -s 172.16.100.0/24 -o eth0 -j SNAT --to-source 10.10.10.10

當然 NAT 又會區分 SNAT 與 DNAT兩種

SNAT 是讓內部NAT到外部去能夠存取網際網路。

DNAT 就是反過來，讓外面的人可以連接進來我們內部的伺服器。

初期的時候有說過內部IP 以及外部IP的不同。 接著我們也有討論到 LAN、WAN 以及 DMZ區

我們假設一個情境，一家公司僅使用Netfilter 的這台伺服器做為外部的防火牆設備， 平常僅供內部使用是沒有問題的， 但今天突然要開放外部能夠連接到我們放置於DMZ區的伺服器(該伺服器也是使用私有IP)。 那該怎麼處理?

那這種時候就是使用 DNAT 了。它的指令跟 SNAT 使用方法幾乎類似。 在　netfilter的判別下，下面指令是說，

凡是要連接我 eth0 TCP-80的人，我將幫它導向到172.16.100.10這台主機的TCP-80過去。

就這樣簡單一行就可以處理好了，當然也不一定要80導向80，也可以導向不同的PORT號

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.10:80

Netfilter 的 NAT其實可以幫我們很多忙，除了內部連網際網路，或者外部連接 DMZ 區的伺服器之外，

它更可以結合squid套件幫助我們進行proxy的功能。

當今天把 squid套件安裝並設定啟用後，TCP-3128 port也啟用了。

因為我們想用 proxy這個套件的帶來的功能(明天會談到)，

所以想把內部要連接網際網路的需求全部導向proxy伺服器去。

這時候也只要使用 DNAT 就可以簡單幫你辦到。

下面的指令是說，只要是透過我eth1連接進來要存取TCP-80的人，

全部幫我重新導向到TCP-3128去吧，就這樣你就完成了proxy的導向工作。

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

netfiter說難不難，說簡單也沒簡單到哪去，只要你邏輯能夠清楚，只細想一下總是會有辦法的。

明天就離開netfiter套件，來簡單的介紹一下其他網管的好朋友，proxy的套件squid。