您的当前位置:首页正文

IPTABLES在局域网建设中的应用

2023-02-03 来源:易榕旅网
维普资讯 http://www.cqvip.com

学界I 科技应用 研究与交流 I PTA B L E S在局域网建设中的应用 口翁健勇 一、引言 随着局域网/intranet规模的扩大,不少网络管理员发现服务资源如WEB、EMAIL、FTP等面临越来越多的安全威胁,网络资 源如IP地址、带宽等也逐渐匮乏,加上计算机病毒的流行与BT下载等P2P软件的使用,网络变得不稳定且难以控制。这时候, 除了购买先进的硬件防火墙和流量控制设备、增加网络带宽外,还可以充分利用开源软件先锋LINUX操作系统中的iptables模 块与程序,为intranet增加软件防火墙、网络地址转换(NAT)以及负载均衡等功能。实际使用表明,这是一种非常经济和有效的 解决办法。 二、实现 1、网络结构 网络结构示意图如下 图中,LINUX网关安装在一台具有两块网卡的PC机上,内网(intranet端)网卡地址为192.168.1.1,外网(internet端)网 卡地址为21O.75.50.5,WWW、EMAIL等服务器连接在内网,但允许被互联网上开放授权的用户访问。由于分配给intranet的正 式IP地址只有一个,内网计算机必须通过地址转换来进行对外访问;同时必须在LINUX网关上配置防火墙,过滤由互联网进入 的非法数据包和入侵行为。 2、NAT网络地址转换 正式IP地址是有限的资源,无法为内网每部主机都配置正式地址,这里需要通过LINUX网关中iptables的NAT功能,使得 内网主机在访问互联网时,将其保留地址192.168.1. 转换为网关的正式IP 21O.75.50.5,这个过程称为地址转换或地址伪装。 运用iptables实现NAT的命令格式为: ・ iptables—A POSTR0UTING-t nat—s 192.168.1.O/255.255.255.0-i SNAT一0 eth0一一to—source 210.75.50.5 其中,192.168.1.0/255 255.255.0代表内网主机所在地址段,21O.75.50.5代表转换后的IP地址。实际应用中编写脚本如 !/bin/sh #启动内核的转发功能 echo 1>/prodsys/net/ipv4/ip_forward #清空原有默认规则 广东科技200610总第160期 维普资讯 http://www.cqvip.com

研究与交流 科技应用 I学界 iptables——F #复位数据包计数器 iptables-Z #不允许未指定的数据转发 iptables—P FORWARD DROP #允许到内网主机的转发 iptables—A FORWARD—i eth0一一dst 192.1 68.1.0/24-j ACCEPT #将内网地址1 92.1 68.1.0/24转换为21 O.75.5O.5 iptables—A POSTROUTING—t nat—S 1 92.1 68.1.0/24-j SNAT—O eth0一一to—source 21 O.75.5O.5 执行该脚本后,所有内网主机都将以地址210.75.50.5对外访问,共用了同一个IP,但目前只实现了内网对互联网的访问,互 联网上的用户仍无法访问到内网中的服务器。为此,可在脚本中增加以下命令(假设内网主机’192.168.1.2为VWWV服务器): ptables—A POSTROUTING-t nat—s 192.168.1.2/32一P tcp一一sport 80一j SNAT—O eth0一一to -source 210.75.50.5:80 ptables—t nat—A PREROUTING-i eth0-d 21 0.75.50.5/32一P tcp一一dport 80--j DNAT一一to 1 92.1 68.1.2:80 以上命令通知网关的LINUX内核,将对lP地址21O.75.5O.5端13 80的访问映射为对内网地址192.168.1-2端13 80的访 问。此时,互联网上的用户也可以访问到内网里的WWW服务器了,实现了互联网与内网两个方向的互访。 3、设定iptables软件防火墙 由于企业的业务数据均放置在intranet内,安全问题是关注的重点。网关不仅应过滤互联网对内网主机的非法访问与攻击, 还要对内网主机对网络的不恰当使用(如过多的BT下载)进行限制,同时网关要保护自身不受攻击。Iptables内置了INPUT、 OUTPUT、FORWARD三条“链”,分管这三个方面的安全控制:INPUT链管理进入网关的数据包,OUTPUT链管理从网关发出 的数据包,FORWARD链管理转发的数据包。以下为控制脚本中的部分命令: #配置INPUT链默认策略,未经允许的数据包不能进入网关 iptables-p INPUT DROP #配置FORWARD链默认策略,未经允许的数据不能经网关转发 iptables-p FORWARD DROP #允许IP为192.168.1.8的管理员对网关进行操作: iptables—A INPUT一一src 192.168.1.8-j ACCEPT 释允许内网地址段为192.168.1. 的主机经网关访问互联网 iptables—A FORWARD—i ethl一一SFC 1 92.1 68.1.Q/24一i ACCEF叮 iptables—A FORWARD一一dst 192.168.1.0/24-j ACCEPT #内网每部主机对外访问的连接数不能超过3O iptables—A FORWARD—P tcp…syn m connlimit一一connlimit—above 30-j REJECT Iptables除了根据地址及端13对数据包进行过滤外,还能加载很多实用模块实现复杂的功能。如PSD模块可侦测并过滤端 31扫描行为,LIMIT模块可控制单位时间内的数据包数量,TOS模块可设置或改变流经网关的数据包的服务类型,等等。应用 iptables还可以构建出支持连接状态的防火墙,其功能相比专业的硬件设备毫不逊色。实际应用中的iptables脚本可能比较简 单,但也可以配置得非常复杂,完全根据intranet的实际需要而定。 三、总结 LINUX操作系统从2I4版内核起集成了iptables功能,由于LINUX的所有源代码均可免费获取,且世界上无数开发高手每 天都在完善和添加新的功能,iptables具有良好的应用前景。LINUX运行在最常见和廉价的X86计算机上,使iptables的应用成 本十分低廉,因而深受intranet管理者的欢迎。本文介绍的iptables功能模块已配置在于广东金科网的多个局域网环境内,运行 稳定高效,取得了理想的效果。■ 47 广东科技2006.10总嘉160期 

因篇幅问题不能全部显示,请点此查看更多更全内容