簡易 NAT 與 Firewall 設定

kenduest

1. 
   
2. #!/bin/bash
   
3. 
   
4. # ============================================================================
   
5. 
   
6. # network interface define
   
7. 
   
8. INTERNET_NIC=eth0     # to internet, eg eth0 or ppp+
   
9. INSIDE_NIC=eth1     # lan
   
10. 
    
11. INSIDE_NET=192.168.1.0/24   # internal network area
    
12. 
    
13. # ============================================================================
    
14. 
    
15. # firewall module
    
16. 
    
17. modprobe ip_tables
    
18. modprobe ip_conntrack
    
19. modprobe ip_conntrack_ftp
    
20. modprobe ip_conntrack_irc
    
21. 
    
22. modprobe ip_nat_ftp
    
23. modprobe ip_nat_irc
    
24. 
    
25. # ============================================================================
    
26. 
    
27. # reset main firewall policy
    
28. 
    
29. iptables -P INPUT DROP
    
30. iptables -P OUTPUT ACCEPT
    
31. iptables -P FORWARD DROP
    
32. 
    
33. iptables -t nat -P PREROUTING ACCEPT
    
34. iptables -t nat -P POSTROUTING ACCEPT
    
35. iptables -t nat -P OUTPUT ACCEPT
    
36. 
    
37. iptables -t mangle -P INPUT ACCEPT
    
38. iptables -t mangle -P OUTPUT ACCEPT
    
39. iptables -t mangle -P FORWARD ACCEPT
    
40. iptables -t mangle -P PREROUTING ACCEPT
    
41. iptables -t mangle -P POSTROUTING ACCEPT
    
42. iptables -t mangle -P OUTPUT ACCEPT
    
43. 
    
44. # ============================================================================
    
45. 
    
46. # reset main firewall rule
    
47. 
    
48. iptables -F -t filter
    
49. iptables -F -t nat
    
50. iptables -F -t mangle
    
51. 
    
52. iptables -X -t filter
    
53. iptables -X -t nat
    
54. iptables -X -t mangle
    
55. 
    
56. # ============================================================================
    
57. 
    
58. # allow ESTABLISHED,RELATED packet and lo loopback
    
59. 
    
60. iptables -A INPUT -i lo -j ACCEPT
    
61. iptables -A INPUT -i $INSIDE_NIC -j ACCEPT
    
62. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
63. 
    
64. # ============================================================================
    
65. 
    
66. # drop port scan ...
    
67. 
    
68. # NMAP FIN/URG/PSH
    
69. iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    
70. 
    
71. # Xmas Tree
    
72. iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
    
73. 
    
74. # Another Xmas Tree
    
75. iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    
76. 
    
77. # Null Scan(possibly)
    
78. iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
    
79. 
    
80. # SYN/RST
    
81. iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    
82. 
    
83. # SYN/FIN -- Scan(possibly)
    
84. 
    
85. iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    
86. 
    
87. # ============================================================================
    
88. 
    
89. # main firewall rule, open ports...
    
90. 
    
91. iptables -A INPUT -i $INTERNET_NIC -p tcp --dport 22 -m state --state NEW -j ACCEPT
    
92. 
    
93. iptables -A INPUT -i $INTERNET_NIC -p tcp --dport 80 -m state --state NEW -j ACCEPT
    
94. 
    
95. # ============================================================================
    
96. 
    
97. # nat
    
98. 
    
99. # forward rule
    
100. 
     
101. echo "1" > /proc/sys/net/ipv4/ip_forward
     
102. 
     
103. iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
     
104. iptables -A FORWARD -s $INSIDE_NET -j ACCEPT
     
105. 
     
106. iptables -A POSTROUTING -t nat -o $INTERNET_NIC -j MASQUERADE
     
107. 
     
108. # ============================================================================
     

複製代碼

b2426024

我參考老師這個範例，架個nat，不過我的 policy 除了INPUT 是DROP 以外，其他都是 ACCEPT 的。
在實做時，內部 client 可以順利出去 internet，於是我做個實驗，把以下這行註解掉：
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
發覺 CLIENT 不能連上internet 上的網站了。
我百思不解，因為依我目前的認知，client 會先透過dns (我 nat 本身也擔任dhcp 及dns)查出網站的 ip 位址，
假設是1.2.3.4，然後直接透過nat 把封包送出去，此過程應會經過
PREROUTING->FORWARD->OSTROUTING 對嗎?
也就是沒經過 INPUT chain，而回應封包也是先 PREROUTING->FORWARD->OSTROUTING，
應該也沒經過INPUT chain，那為何會不能連線呢?
不是應該有牽扯到INPUT chain 時，上面那條我註解起來的規則才
會派上用場嗎?

kenduest

你的問題在我個人版置頂裡面有寫，請參考:

"Linux iptables firewall 設定常見 FAQ 整理"

--

b2426024

這個我看過了，不過好像都是針對本機存取外部、本機存取自己、外部存取本機在做探討。
而我的問題是內部經過本機出去，再回應回來，也就是我一開始寫的
PREROUTING->FORWARD->OSTROUTING 出去
PREROUTING->FORWARD->OSTROUTING 回應封包
我絕得從頭到尾都跟 INPUT chain 沒關啊，還是我觀念有錯呢?

kenduest

你說你有加上 dns 服務，然後 client 端是是使用你架設的 dns 服務來查詢資料，所以您大概會是這樣設定:

1. 
   
2. iptables -P INPUT DROP
   
3. iptables -A INPUT -p udp --dport 53 -j ACCEPT
   
4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   

複製代碼

上面這是允許外面可以連到該主機存取 dns 服務。

然後你得注意的是，你拿掉了 -m state 那行變成:

1. 
   
2. iptables -P INPUT DROP
   
3. iptables -A INPUT -p udp --dport 53 -j ACCEPT
   

複製代碼

你的 client 端當然是可以連到該 linux 主機使用 dns 服務這是確認的，但是 linux 主機本身卻連不到外面，所以 named 根本就無法對外查詢到所需要的資料。linux 連不到外面原因？因為根本沒考慮 tcp/ip 是雙向的 (詳見於 iptables faq)

結論就是你可以 ping 168.95.1.1，但是你無法 ping dns.hinet.net，因為你使用的 linux 主機本身根本無法對外查詢資料，所以你的 client 端當然無法使用你的 dns 服務查資料

--

b2426024

唉啊，對噢，當初就是一直光想著查到ip 後的ip 偽裝流程，卻沒
注意到一開始的dns 的問題，所以才一直想不通，真是太感謝了。

suse

看到這篇文章，我也很感興趣，所以也照做了一遍，我的環境如下：
client (192.168.1.100)----|---NAT(DNS)---internet

NAT 對內eth1(192.168.1.254)，對外eth0(61.231.53.33)
NAT 設定如下：
# 清除規則
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# 政策
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# 偽裝
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

這樣 client 存取外面網頁或收發mail 都ok，現在我也把ESTABLISHED,RELATED 那條規則拿掉，結果對外存取網頁的確是看不到了，但我發現收信時居然不會有錯誤訊息(但也收不到信)，正常來說收信時，不是會先查詢outlook 裡所設定的pop3 server的hostname 對應的ip，查到後才有辦法收信?所以應該在dns 做名稱解析時，回應封包就被拒絕了，但卻沒看到啥錯誤訊息，這是什麼原因呢?

suse

解決了，我把所有主機reboot 後在測試就ok了，可能是cache 的問題吧。

lee_roy

老師請問
如果我公司網路環境只是要內部對外部全開放
擋掉外部對內部的存取(因為沒有架設任何網站)
只是要能上網ftp收信等等的話用你的這個範本+adsl非固定的
可行嗎？這樣會不會不很危險