求救，一个进程占用资源太多的问题，如下

sky-walker

在Red Hat Linux 上配置NAT和封包过滤防火墙

实际工作中我们会有这样的需求：让多台计算机/局域网共享一条线路访问Internet，要实现这项功能通常有两种方法：

l         使用NAT（Network Address Translation）
l         架设代理服务器（Proxy Server）



图中我们把网络划分为两个区域：Private区和Internet区。对外提供服务的Internet服务器也放在Private区，和局域网其它主机使用同一网段地址（当然，也可以不单独设Internet服务器而在接入服务器上安装Internet服务）。Linux接入服务器就是我们下面工作的重点，它负责带动局域网内的主机访问Internet，并保护局域网内的主机和服务器不受来自Internet的攻击。

为方便后面的脚本编写，首先来明确几个必要的参数。Linux接入服务器上面向Internet的网卡eth0配置如下，这些数据是从ISP那里得到的：
IP地址 61.156.35.114（只有一个公网IP地址，这么少？足够了）
子网掩码 255.255.255.192
网关地址 61.156.35.126
DNS服务器 202.102.152.3 202.102.134.68
局域网内的IP地址是192.168.100.0/255.255.255.0，我们在局域网内部安装了Internet服务器，地址为192.168.100.1，通过设置Linux接入服务器上的安全规则使它可以对外提供www、smtp、pop3等服务。Linux接入服务器上面向Private的网卡是eth1，其IP地址为：IP地址 192.168.100.254。

在接入Internet时，直接连接到Internet上的计算机是安全问题的焦点。无论是一台计算机还是由计算机连接起来的局域网（LAN），其焦点都是与Internet直接相连的机器（或设备），这台机器按照其功能人们通常称之为Internet网关、防火墙或代理服务器，我习惯于称它为Internet接入服务器。

作为接入服务器：我们希望我们的局域网可以共享我们的Internet连接，并且根据实际情况的需要，控制局域网内主机或用户能否通过这个网关自由或有限的访问Internet。如果局域网访问Internet的流量较大，使用频繁，我们还希望这台主机能够实现各种缓存功能（DNS缓存、WEB缓存），以减少流量和加快访问速度。

作为防火墙：我们在局域网内运行着本地私有服务，诸如共享打印机或共享文件系统，我们希望这些服务仅在局域网内有效，或者某些服务可以公开到Internet上，这可以通过设置相应的安全策略来实现。

图中的Linux接入服务器所实现的就是我们常说的代理服务器/防火墙。局域网内的终端通过Linux服务器来访问Internet，Linux 服务器是局域网和Internet连接之间的一个网关（Gateway），这时所有对Internet的访问都会经过Linux服务器。

从共享上网的功能来看，NAT的优点是局域网用户通过NAT方式上网时客户端不需要作任何的特殊设置，就和直接使用公网IP地址上网没什么区别；而Proxy则更方便对用户进行权限控制，并且还可以实现访问内容的本地缓存，以此加快访问速度以及内容过滤等等。

NAT和Proxy在Linux上的实现是Linux的典型应用之一，并且还可以结合NAT和Proxy配置透明代理（Transparent Proxy），实现两者的完美结合。本文就来介绍一下Linux NAT和封包过滤（Packet Filtering）防火墙。

sky-walker

安装iptables

开始之前有必要了解一下Linux内核对NAT、防火墙功能支持的历史，Linux内核在不同的版本使用不同的系统来实现这些功能：
Linux 2.0内核使用ipfwadm实现，实际应用中2.0版的内核已经不太常见了；
Linux 2.2内核使用ipchains实现，我的主页上摘录了一篇相当棒的关于ipchains的教程，正在使用Linux 2.2版内核的朋友可以阅读参考：
http://www.ta139.com:8080/~pangty/ipchains/0.htm；
Red Hat Linux 7.3使用的是2.4版内核，Linux 2.4内核实现这部分功能的机制是netfilter和iptables，这个系统可以完成封包过滤（packet filtering）、网络地址转换NAT（network address translation）以及其它对数据包（packet）的操作。

netfilter是Linux 2.4.x内核内嵌的功能，由它实现对流经它的数据包的处理，iptables则被定义成一个规则表格，用来描述如何对封包进行处理。netfilter、iptables、连接跟踪、以及NAT功能共同组成了Linux 2.4.x内核的网络安全体系。除了通过NAT让局域网共享线路上网之外，这些功能还可以让你在Linux上创建一个功能完善的防火墙系统。

很多文章在讲iptables时都会提到要重新编译内核以提供对netfilter和iptables的支持，这让大多数的新手感到无从下手。实事上，目前广泛应用的各种Linux发行版的内核已经提供了默认支持，除非特别需要，没有必要进行内核的重编译。

首先安装iptables软件包。查询一下系统上是否安装了iptables软件包：

[root@rh73 ~]# rpm -qa|grep iptables

如果没有，那么找到Red Hat Linux 7.3的安装光盘，开始安装iptables：

[root@rh73 /mnt/cdrom/Red Hat/RPMS]# rpm -ivh iptables-1.2.5-3.i386.rpm
Preparing...                ########################################### [100%]
   1:iptables               ########################################### [100%]

还要注意的一点是，Red Hat Linux高版本（7.1版之后）开始正式支持iptables，但仍会同时提供基于Linux 2.2.x内核的ipchains。这两个系统是不能同时存在的，因此，有必要确认并停止ipchains的服务：

[root@rh73 ~]# /etc/rc.d/init.d/ipchains stop
[root@rh73 ~]# chkconfig --level 0123456 ipchains off

如果更彻底一点，可以把已经安装的ipchains卸载掉：

[root@rh73 ~]# rpm -e ipchains


§§　最简单的NAT脚本

为了更直观的认识在Linux上实现NAT，我们先来编写一个脚本fw.sh，其内容如下：

#!/bin/sh
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114

只有三行，写完后存盘。然后修改文件属性，加上可执行权限：

[root@rh73 ~]# chmod +x fw.sh

运行这个脚本

[root@rh73 ~]# ./fw.sh

到客户端试一下。如果你不是使用前面介绍的DHCP给客户端机器自动配置网卡参数，则需要手工的配置客户端网卡的IP地址、子网掩码、默认网关(根据前面安装时的配置，这里应该是Linux服务器上eth1的地址192.168.100.254)，以及ISP提供给你的DNS服务器地址。现在在浏览器里输入一个网址 ... ... 如果没有什么意外，现在已经可以上网了！

回过头来看看这个脚本：

echo 1 >; /proc/sys/net/ipv4/ip_forward

这一行是通知Linux内核启动ip转发，只有启动了ip转发功能才能使用NAT。

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114

这一行的意思是：把来自192.168.100.0子网并通过eth0出去的访问请求做NAT，把数据包的源地址修改为61.156.35.114。192.168.100.0/24也可以写成192.168.100.0/255.255.255.0，24代表了子网掩码掩到第24位，即255.255.255.0。

如果你的ISP没有分配给你固定的公网地址，那么这一行可以写成：

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j MASQUERADE

modem或isdn等拨号方式上网，假如是通过ppp0拨号上网，可以这样写：

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o ppp0 -j MASQUERADE

这是NAT是一种特例，我们称其为IP伪装（masquerading）。

这里是针对一个子网（192.168.100.0/24）做NAT，也可以具体到某台主机：

iptables -A POSTROUTING -t nat -s 192.168.100.9 -o eth0 -j MASQUERADE

sky-walker

NAT——Network Address Translation

让我们仔细来了解一下Linux 2.4的NAT。前面我们编写的脚本中使用NAT功能可以带动局域网访问Internet，而Linux的NAT可以做的事情远不止这些。

在NAT table中，数据包通常被送到几个不同的目的地DNAT、SNAT和MASQUERADE，通常我们可以根据这个把NAT分为两种不同的类型：Destination NAT（DNAT）和Source NAT（SNAT）。

Destination NAT将改变数据包要到达的目的地。使用DNAT我们可以把来自Internet上发送到我们的真实IP地址上的请求转发到内部的某台服务器上，比如我们把内部的两台服务器分别配置成公司的WEB服务器和MAIL服务器，通过设置DNAT规则，可以把外部对我们服务器公网地址的WWW请求，送到局域网内部的WEB服务器上，也可以把MAIL服务的请求，送到内部的MAIL服务器上，这种NAT以前也被称为端口转发。

重定向（Redirection）是Destination NAT的一个特例。某些场合我们人为的把经过Linux的数据包送往本机的另外一个程序来处理，比如我们知道使用代理服务器程序的缓存功能可以加快访问Internet的速度，这在使用速度较低的Internet连接时非常有意义。这时就可以把经过Linux服务器访问Internet的请求送给某个代理服务程序，由该代理服务器完成访问请求，我们经常提到的透明代理就是这种方式，之所以称为透明，是因为在这种工作方式下你感觉不到代理的存在。squid可以配置完成这项工作。

Source NAT改变数据包的来源地址。使用SNAT最典型的例子就是前面我们那个脚本实现的功能，这时，来自内部局域网通过Linux接入服务器的packet的源地址都被修改为服务器外网卡的公网地址。这样也可以起到隐藏内部地址的作用，无论你从内部的哪台机器上访问Internet，从Internet上看到的，都是你的外网卡的IP地址。

伪装（masquerading）是SNAT的一种特殊形式，在使用上和SNAT完全一样。两者的区别在于：在Internet接入时，如果服务器端使用的是DHCP、拨号等没有固定IP地址的接入方式，masquerading可以自动的判断使用哪个IP地址，而SNAT则更多的用于有固定IP地址的场合。


§§　控制NAT规则表

前面已经看到了，我们使用iptables来创建NAT规则，使用”-t nat”参数来修改NAT table，告诉Linux内核哪些连接请求将被改变和如何改变。

NAT规则表包含两个称为“chains”的列表：PREROUTING（用于Destination NAT，当包进入时检查）；POSTROUTING（用于Source NAT，包离开时检查，我们前面已经用过了）。通过NAT主机的数据包按顺序与规则表内的规则匹配。如下图所示：
            _____                                     _____
           /     \                                   /     \
    -->;--PREROUTING -->;[Routing ]----------------->OSTROUTING----->;
           \D-NAT/     [Decision]                    \S-NAT/
                           |                            ^
                           |                            |
                           |                            |
                           |                            |
                           |                            |
                           |                            |
                           |                            |
                           -------->; Local Process ------

这个图表描述了经过Linux服务器的数据包是被如何处理的，数据包通过Linux服务器时进行路由操作，并且被检查是否与DNAT或SNAT规则匹配，与规则匹配的数据包将被作相应处理。

下面举例说明如何使用iptables来定义NAT规则

Source NAT

Source NAT在数据包送出之前改变数据包的源地址，其规则在POSTROUTING chain中定义。

几个参数：
-j SNAT　定义SNAT
--to-source　指定转换后的源地址[]，可以简写成--to
[]，端口，是一个可选项，仅在指明TCP或UDP协议时使用
-o　出口接口（outgoing interface）

举例：

把数据包源地址转换为 1.2.3.4.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
还有前面我们用到的
iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114

把数据包源地址转换为1.2.3.4, 1.2.3.5 或 1.2.3.6
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

把数据包源地址转换为1.2.3.4, 使用端口范围是1-1023
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023

伪装（Masquerading）

伪装是Source NAT的一种特例，常用在诸如拨号上网等使用动态IP地址的情况下：

伪装所有通过ppp0送出的数据包
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

有固定IP地址的时候也可以使用IP伪装，比如前面我们用到的
iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114
也可以写成
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 –o eth0 -j MASQUERADE

Destination NAT

Destination NAT规则在PREROUTING chain中定义，它改变数据包中目的地址的值。

几个参数：
-j DNAT　定义DNAT
--to-destination[]　指定转换后的目标地址[]，可以简写成--to
[]，端口，是一个可选项，仅在指明TCP或UDP协议时使用
-i　入口接口 (incoming interface)

举例：

转换数据包目标地址为 5.6.7.8
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8

转换数据包目标地址为 5.6.7.8, 5.6.7.9 or 5.6.7.10.
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10

改变WWW访问请求的目标地址到5.6.7.8的8080端口
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \
        -j DNAT --to 5.6.7.8:8080

重定向（Redirection）

重定向是Destination NAT的一个特例。比如我们经常提到的squid透明代理是把客户端对80端口的请求（WWW请求）重定向送到squid代理：
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128


§§　使用NAT时对特殊协议的处理

除了上网浏览页面，我们还可能需要用到其它的Internet服务，比如ftp，现在我们打开一个DOS窗口，登录到某个ftp服务器，如下图：

http://www.ta139.com:8080/~pangty/MyLinux/iptables.files/image003.jpg

注意一下这个提示信息：

500 Illegal PORT command.
425 Can't build data connection: Connection refused

我们现在无法正常列出该ftp服务器上的内容，更无法传送文件了。

来看看是什么原因：FTP一般需要使用两个端口，端口21只是一个命令端口, 真正传送数据的时候, 还需要另外一个数据端口（通常是TCP/UDP 20）。问题就出现在第二个数据端口上。打开这个数据端口的时候有两种方式，一种是passive(PASV command)方式，由FTP Server端提供一个连接的IP/Port，FTP Client连接到这个IP/Port上进行数据传输。另一种是active(PORT command)方式，由FTP Client提供IP/Port，再由FTP Server回叫至Client提供的地址。具体采用哪一种方式, 是由FTP Client决定的，Client通过PASV或PORT命令通知Server采用什么方式。正是这样的握手方式，给Server端和Client端都造成了麻烦。这个问题的具体描述详见http://www.daemonnews.org/200109/ftpnat.html

对于客户端来说，有这样几种情况：

FTP Client采用passive方式，告诉FTP Server端提供一个数据端口。一般的FTP Client软件都支持passive方式，我使用的网络蚂蚁，网际快车（FlashGet）默认方式都是passive。

FTP Client不支持passive方式或者使用浏览器作为FTP Client。通过浏览器直接访问FTP使用的是active方式，问题就出现在这里。

另外还有一些FTP站点不支持passive方式。这时，就需要我们修改Linux NAT，添加相应的模块来支持active模式：

[root@rh73 ~]# modprobe ip_nat_ftp
[root@rh73 ~]# modprobe ip_conntrack_ftp

这时再登录访问ftp就没有问题了。类似的，其他服务如irc也有对应的模块来支持。可以把这两行内容写在fw.sh里面：
#!/bin/sh

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

echo 1 >; /proc/sys/net/ipv4/ip_forward

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114


§§　Destination NAT到同一网络内

如同在前面的网络拓扑里描述的，实际应用中，我们还可能会把内部的某台主机作为服务器对外提供服务，这就可能遇到DNAT到同一网络内的问题。最典型的例子是：在内部我们有一台服务器运行着web服务，现在我们想让Internet上的用户通过Linux服务器来访问到它。

比如，让内部的192.168.100.1这台服务器充当web服务器，当别人把访问web的请求发送到我们的公网地址，假设为61.156.35.114，通过设置DNAT规则，让内部的192.168.100.1来做出响应：

iptables -t nat -A PREROUTING -d 61.156.35.114 -p tcp --dport 80 -j DNAT --to 192.168.100.1

假设我申请了域名www.silly.com指向61.156.35.114，从公网上访问http://www.silly.com是没有问题的，但从192.168.100.0这个网络上的终端却无法用http://www.silly.com来访问web服务，因为Linux NAT只对穿过它的数据包做修改，而来自内部的访问请求恰恰在到达Linux服务器的外网卡接口时即被环回了。

解决问题的办法有两个：

a、设置一个内部的DNS，把你的域名www.silly.com指向到内部的IP地址192.168.100.1，其它的域名解析正常进行。这样，当你从内部访问www.silly.com时，你的DNS会自动把它指向192.168.100.1，而不经过Linux服务器。

b、修改NAT规则，增加这样一行：
iptables -A POSTROUTING -s 192.168.100.0/255.255.255.0 -d 192.168.100.1 -p tcp -m tcp --dport 80  \
-j SNAT --to-source 192.168.1.254

截止到这里，我们已经知道如何使用iptables来设置NAT规则实现从局域网到Internet的访问，并且知道了如何利用ip地址或网卡MAC地址控制上网权限。如果在局域网内设置了Internet服务器，我们还可以通过设置DNAT规则来实现从Internet到局域网内特定服务的访问。


§§　封包过滤——Packet Filter

刚才使用NAT解决了局域网接入问题，现在就来看看netfilter的强大的封包过滤功能，该功能常被用来配置防火墙。

封包过滤（Packet Filter）是使用特定的软件来察看经过Linux服务器的数据包的包头，并根据过滤规则的设置决定数据包的命运。比如丢弃（DROP）该数据包，接收（ACCEPT）该数据包（允许通过），或者其它的动作。


§§　控制封包过滤规则

来看看Linux下的封包过滤是如何工作的。Linux内核中默认的有三个被称为“防火墙规则”的过滤表，分别是：INPUT、OUTPUT和FORWARD。如下图所示：
                                  _____
        Incoming                 /     \         Outgoing
           ------>;[Routing ]--->;|FORWARD|-------->;
                  [Decision]     \_____/         ^
                       |                         |
                       v                       ____
                      ___                     /    \
                     /   \                   |OUTPUT|
                    |INPUT|                   \____/
                     \___/                       ^
                       |                         |
                        ---->; Local Process -----

数据包通过网络接口（比如网卡）进入Linux服务器，首先，该数据包将被进行路由操作（Routing Decision）以决定它的去向，然后分别与INPUT、FORWARD、OUTPUT规则表匹配以决定是否允许该数据包通过或转发。防火墙规则表完全决定了通过该服务器的数据包的命运。

对照我们前面描述的网络连接，我们通过Linux服务器上的eth0连接到Internet，下面修改后的脚本将在实现NAT的同时，禁止任何来自Internet的主动访问，即整个网络的访问权限是单向的，只允许从内部网向Internet的访问。
[root@rh73 ~]# cat fw.sh
#!/bin/sh

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

echo 1 >; /proc/sys/net/ipv4/ip_forward

#把默认的INPUT和FORWARD策略置为DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

#禁止来自Internet到eth0主动发起的访问请求
iptables -A FORWARD ! -i eth0 -m state --state NEW -j ACCEPT　　①
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT　　②

iptables -A INPUT ! -i eth0 -m state --state NEW -j ACCEPT　　③
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT　　④

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114

由于对于INPUT和FORWARD的规则设置相同，也可以把①②③④部分简化一下：
#创建一个新的规则表allowed
iptables -N allowed
iptables -A allowed ! -i eth0 -m state --state NEW -j ACCEPT
iptables -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT

#INPUT和FORWARD使用allowed规则表的设置
iptables -A INPUT -j allowed
iptables -A FORWARD -j allowed

这个脚本中又用到了iptables的几个新的参数和使用方法，下面将对此做一个小小的总结。


§§　iptables的常用命令和选项

前面我们一直使用iptables这个工具来创建和维护规则表，它通过丰富的命令和选项来设置这些规则，到目前为止本文只讲述其中很少的一部分内容，但我想在大多数场合下这已经足够用了，（但愿你也这么认为 ）。

iptables命令：

维护规则表的命令：
1.       （-N）创建一个新规则表
2.       （-X）删除一个空规则表
3.       （-P）改变内建规则表的默认策略
4.       （-L）列出规则表中的规则
5.       （-F）清空规则表中的规则
6.       （-Z）将规则表计数器清零

管理规则表中的规则：
1.       （-A）添加新规则到规则表
2.       （-I）插入新规则到规则表的某个位置
3.       （-R）替换规则表中的规则
4.       （-D）删除规则表中的某条规则

在调试iptables规则时，你也许需要反复修改你的脚本来实现某些特定的功能，这时建议在你的脚本里添加这样几行，以防止重复设置规则：

# 清除所有规则
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# 设置内建规则表的默认策略
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

“-t”选项是“--table”的简写，它指明了你要对哪类规则表进行操作，默认的是指filter。

下面举例说明iptables的部分选项的使用：

指定源地址和目标地址

指定规则操作的源地址　 -s　或 --source　或 -src
指定规则操作的目标地址　-d　或 --destination 或 -dst

允许来自192.168.100.0/24的数据包通过
iptables -A INPUT -s 192.168.100.0/24 -d 0.0.0.0/0 -j ACCEPT

“-j”选项是“--jump”的简写，它指明了匹配该条规则的数据包的具体处理方法，可能是ACCEPT、DROP等。

取反：在参数前加“!”号

接受除了来自192.168.100.0/24外的所有的数据包
iptables -A INPUT -s ! 192.168.100.0/24 -d 0.0.0.0/0 -j ACCEPT

指定协议（TCP、UDP或ICMP）

-p 或 --protocol

禁止icmp协议
iptables -A INPUT -p icmp -j DROP

指定接口

指定数据包进入的接口　-i 或 --in-interface
指定数据包送出的接口　-o 或 --out-interface
INPUT规则表中只允许指定-i接口，OUTPUT规则表中只允许指定-o接口，FORWARD表可以指定这两种接口。

允许从eth1进入的数据包
iptables -A INPUT -i eth1 -j ACCEPT

允许从eth0接口送出的数据包
iptables -A OUTPUT -o eth0 -j ACCEPT

转发从eth1进入，eth0送出的数据包
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

TCP/UDP扩展
指定源端口　--sport 或 --source-port
指定目的端口　--dport 或 --destination-port

允许从eth0进入访问到目标端口为21的tcp数据包
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

允许从eth0进入访问到目标端口为21的udp数据包
iptables -A INPUT -i eth0 -p udp --dport 21 -j ACCEPT

状态匹配
--state state,state...

正如前面我们脚本中用到的，state是用逗号分隔的列表，表示要匹配的连接状态。有效的状态选项包括：INVAILD，表示数据包对应的连接是未知的；ESTABLISHED，表示数据包对应的连接已经进行了双向的数据包传输，也就是说连接已经建立；NEW，表示这个数据包请求发起一个连接；RELATED，表示数据包要发起一个新的连接，但是这个连接和一个现有的连接有关，例如：FTP的数据传输连接和控制连接之间就是RELATED关系。

禁止从eth0进来的NEW状态，也就是禁止来自eth0的新的访问请求
iptables -A INPUT -i eth0 -m state --state NEW -j DROP

“-m”是“--match”的简写。-m选项引出了iptables的state扩展模块，比如mac扩展模块，它实现根据主机网卡的MAC地址进行权限控制的规则：

iptables -A INPUT -p tcp -m mac --mac-source 01:02:03:04:05:06 -j ACCEPT

扩展模块是iptables体系中的特色，它使得iptables成为一个可扩展的安全体系结构。你可以从这里了解更多关于iptables扩展模块的知识：http://www.iptables.org/documentation/HOWTO//netfilter-extensions-HOWTO.html


§§　对封包过滤设置的建议

封包过滤实现的是针对安全方面的策略，通常我们遵循“凡是没有明确允许的都是禁止的”这样的原则来设计安全策略：首先禁止所有的东西，然后根据需要再开启必要的部分。

启用路由验证（防止IP地址欺骗）。IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。比如来自你的外网接口eth0新建连接的数据包源地址是你的内部局域网的地址，正常情况下这种现象是不可能的，那么它应当被丢掉。

Linux内核支持防范IP地址欺骗的功能，对于一个接口比如eth0可以这样做：
echo 1 >; /proc/sys/net/ipv4/conf/eth0/rp_filter

对于所有接口：
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >; $f
done

综合NAT和封包过滤这两部分内容，我们得到一个具有防火墙功能的脚本fw.sh，它已经初步实现了我们关于接入服务和防火墙两项功能的要求：

[root@rh73 ~]# cat fw.sh
#!/bin/sh

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

echo 1 >; /proc/sys/net/ipv4/ip_forward

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >; $f
done

# 删除所有规则
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# 设置内建规则表的默认策略
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#禁止来自Internet到eth0主动发起的访问请求
iptables -A FORWARD ! -i eth0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT ! -i eth0 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 61.156.35.114


§§　iptables-save和iptables-restore

iptables设置的规则可以用两个相关的工具iptables-save、iptables-restore来进行存储和恢复。

在控制台执行如下命令：
[root@rh73 ~]# iptables-save
# Generated by iptables-save v1.2.5 on Mon Aug  5 22:25:25 2002
*filter
:INPUT DROP [1]
:FORWARD DROP [0]
:OUTPUT ACCEPT [23]
-A INPUT -i ! eth0 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! eth0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Aug  5 22:25:25 2002
# Generated by iptables-save v1.2.5 on Mon Aug  5 22:25:25 2002
*nat
REROUTING ACCEPT [0]
OSTROUTING ACCEPT [0]
:OUTPUT ACCEPT [0]
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth0 -j SNAT --to-source 61.156.35.114
COMMIT
# Completed on Mon Aug  5 22:25:25 2002

也可以代-t参数，指明显示哪个规则表的内容：

[root@rh73 ~]# iptables-save -t filter
# Generated by iptables-save v1.2.5 on Mon Aug  5 22:26:20 2002
*filter
:INPUT DROP [49]
:FORWARD DROP [0]
:OUTPUT ACCEPT [62]
-A INPUT -i ! eth0 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! eth0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Aug  5 22:26:20 2002

可以把显示结果存储到文件中：

[root@rh73 ~]# iptables-save >; filename

恢复iptables规则使用iptables-restore命令：

[root@rh73 ~]# iptables-restore < filename


§§　使用Red Hat Linux提供的启动控制脚本

除了自己编写脚本，我们还可以使用Red Hat Linux带的iptables的启动控制脚本来管理iptables规则。使用Red Hat自带的/etc/rc.d/init.d/iptables脚本控制iptables，我们需要关心下面几个文件：

/etc/rc.d/init.d/iptables
iptables的控制脚本，可以用来启动、停止iptables

/etc/rc.modules
预加载模块支持特定的服务

/etc/sysconfig/iptables
iptables规则设置

/etc/sysctl.conf
内核参数设置

看看如何设置这几个文件：

设置/etc/rc.modules

[root@rh73 ~]# vi /etc/rc.modules
modprobe ip_nat_irc
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

存盘退出后，修改该文件的属性

[root@rh73 ~]# chmod +x /etc/rc.modules

设置/etc/sysconfig/iptables，其内容格式和iptables-save输出格式是完全一样的，可以直接用iptables-save获得刚才fw.sh脚本定义的策略。运行fw.sh脚本后，再运行：

[root@rh73 ~]# iptables-save >; /etc/sysconfig/iptables

设置/etc/sysctl.conf来开启IP转发和防止地址欺骗特性：

[root@rh73 ~]# vi /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

全部设置完后，运行ntsysv，确认选择了iptables一项，在系统启动时可以自动加载iptables设置的规则，然后重新启动服务器：

[root@rh73 ~]# shutdown –r now

系统在重起后自动加载iptables规则。在控制台也可以手工来控制启动/停止iptables：

启动iptables

[root@rh73 ~]# /etc/rc.d/init.d/iptables start

停掉iptables

[root@rh73 ~]# /etc/rc.d/init.d/iptables stop


§§　一个相对完整的NAT和防火墙脚本

参照文章开始时给出的图示，网络中的Linux接入服务器除了具有启用NAT让局域网内终端共享上网的功能外，还通过设置让我们在局域网内部的服务器192.168.100.1对外提供www、smtp、pop3服务，同时，在该接入服务器上运行了sshd以方便远端对服务器进行必要的维护，下面这个脚本就实现了这些功能：

[root@rh73 ~]# cat fw.sh
#!/bin/sh

EXT_IF="eth0"
INT_IF="eth1"

EXT_IP="61.156.35.114"
INT_IP="192.168.100.254"

LAN="192.168.100.0/24"

# ssh dns
TRUSTED_LOCAL_TCP_PORT="22"
TRUSTED_LOCAL_UDP_PORT="22"

# smtp http pop3
FWD_TCP_PORT="25 80 110"
FWD_UDP_PORT="25 80 110"
SERVER_IP1="192.168.100.1"

# load any special modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_irc

# turn off ip forwarding
echo "0" >; /proc/sys/net/ipv4/ip_forward

# delete any existing chains
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# setting up default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#---------------------- filter ---------------------

# allow ping from internet
iptables -A INPUT -i $EXT_IF -p icmp -j ACCEPT

# enable local traffic
iptables -N allowed
iptables -A allowed ! -i $EXT_IF -m state --state NEW -j ACCEPT
iptables -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j allowed
iptables -A FORWARD -j allowed

for PORT in $TRUSTED_LOCAL_TCP_PORT; do
        iptables -A INPUT -i $EXT_IF -p tcp --dport $PORT -m state --state NEW -j ACCEPT
done

for PORT in $TRUSTED_LOCAL_UDP_PORT; do
        iptables -A INPUT -i $EXT_IF -p udp --dport $PORT -m state --state NEW -j ACCEPT
done

#---------------------- nat ---------------------

# port forwarding
for PORT in $FWD_TCP_PORT; do
    iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $SERVER_IP \
        -p tcp --dport $PORT -m state --state NEW -j ACCEPT
    iptables -t nat -A PREROUTING -d $EXT_IP \
        -p tcp --dport $PORT -j DNAT --to-destination $SERVER_IP
    iptables -t nat -A POSTROUTING -s $LAN -d $SERVER_IP \
        -p tcp --dport $PORT -j SNAT --to-source $INT_IP
done

for PORT in $FWD_UDP_PORT; do
    iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $SERVER_IP \
        -p udp --dport $PORT -m state  --state NEW -j ACCEPT
    iptables -t nat -A PREROUTING -d $EXT_IP \
        -p udp --dport $PORT -j DNAT --to-destination $SERVER_IP
    iptables -t nat -A POSTROUTING -s $LAN -d $SERVER_IP \
        -p udp --dport $PORT -j SNAT --to-source $INT_IP
done

# Transparent Proxy
iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-port 3128

# MASQUERADE
iptables -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE

#------------------------------------------------------------------------

# turn on ip forwarding
echo "1" >; /proc/sys/net/ipv4/ip_forward

# setting up ip spoofing protection
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 >; $f
done

关于iptables的使用就先说这些。这些内容虽然不足以让你搭建一个功能完善的Linux防火墙，但它已经可以帮助你来完成本文一开始提出的目标了。更详细的iptables的使用方法可以在控制台键入man iptables获得。后面我们将看看有关squid代理服务器的内容，并于iptables规则配合，让我们的接入服务器支持透明代理（上面的脚本中Transparent Proxy部分已经把iptables规则设置好了）。提醒一下，透明代理对于我们的接入服务器不是必要的，NAT已经可以很好的完成共享接入功能。

sky-walker

从上面的介绍我们知道iptables可以按照MAC地址来管理用户的权限，Linux系统中还可以使用arp指令来实现IP与Mac地址的捆绑，以此来防止网内IP地址盗用现象的发生：
arp -i eth0 -s xxx.xxx.xxx.xxx(IP) xx.xx.xx.xx.xx(MAC)

还可以把多个MAC和IP对应的内容存放在文件/etc/ethers内，格式如下：
08:00:20:00:61:CA 192.168.100.11
08:00:C0:00:60:AB 192.168.100.12

然后运行arp -f，就可以完成多个IP与MAC的捆绑操作。

sky-walker

有关netfilter/iptables，下面几篇文章可以一读：


来自IBM developerWorks网站的几篇文章：
netfilter：Linux 防火墙在内核中的实现
http://www-900.ibm.com/developerWorks/cn/linux/network/l-netip/index.shtml

使用 netfilter/iptables 为 Linux（内核 2.4.x）配置防火墙
http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml



防火墙非常有趣，但在需要对防火墙规则进行快速且复杂的更改时，您会做些什么？很简单。请使用Daniel Robbins 的动态防火墙脚本，你可以使用这些脚本来增加网络安全性和响应性，并激发自己的创造性设计：
http://www-900.ibm.com/developerWorks/cn/linux/network/dif/index.shtml
http://www.gentoo.org/proj/en/dynfw.xml

sky-walker

继续关注,期待你成功解决

cau_eric

跪谢各位了！！！


有这个必要么?

sky-walker

原帖由 "cau_eric" 发表：
跪谢各位了！！！


有这个必要么?

人家服务器正在遭DoS攻击,没必要,

不要怀疑我在灌水,救机如救火,你不知道楼主有多急!

再说,防DoS攻击本来就麻烦的不得了

sky-walker

原帖由 "cau_eric" 发表：
跪谢各位了！！！


有这个必要么?

人家服务器正在遭DoS攻击,没必要?

不要怀疑我在灌水,救机如救火,你不知道楼主有多急!

再说,防DoS攻击本来就麻烦的不得了

jingshihua

现在我已经按照楼上大侠提供的文档处理了，可还是那样。
我原来的处理没有这么严格，只是作了ip地址的转发和端口映射，现在把所有的外部请求全部禁掉，可是还是有问题。

现在我用tcpdump看，还是好多无关的ip来请求，我不知道怎么处理。
现在感觉非常的郁闷，不行又的拔网线。这个是小弟的fw.sh文件，请直角，谢谢！！

#!/bin/sh

EXT_IF="eth0"
INT_IF="eth1"

EXT_IP="*.*.*.*"
INT_IP="100.*.*.1"

LAN="100.*.*.0/24"


# load any special modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_irc

# turn off ip forwarding
echo "0" >; /proc/sys/net/ipv4/ip_forward

# delete any existing chains
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# setting up default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#---------------------- filter ---------------------

# allow ping from internet
iptables -A INPUT -i $EXT_IF -p icmp -j ACCEPT

# enable local traffic
iptables -N allowed
iptables -A allowed ! -i $EXT_IF -m state --state NEW -j ACCEPT
iptables -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j allowed
iptables -A FORWARD -j allowed

iptables -A FORWARD ! -i eth0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT ! -i eth0 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A POSTROUTING -t nat -s *.*.*.0/24 -o eth0 -j SNAT --to-source 211.*.*.*
#------------------------------------------------------------------------

# turn on ip forwarding
echo "1" >; /proc/sys/net/ipv4/ip_forward

# setting up ip spoofing protection
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 >; $f
done


#文件结束

# allow ping from internet
iptables -A INPUT -i $EXT_IF -p icmp -j ACCEPT
这一句我不知道有没有必要?
现在机器的情况：


61 processes: 57 sleeping, 4 running, 0 zombie, 0 stopped
CPU0 states:  0.0% user, 97.4% system,  0.0% nice,  2.1% idle
CPU1 states:  0.0% user, 97.1% system,  0.0% nice,  2.4% idle
Mem:  2058788K av,  258868K used, 1799920K free,     928K shrd,   31800K buff
Swap: 2096472K av,       0K used, 2096472K free                  106392K cached
ò
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
    5 root      39  19     0    0     0 RWN  60.7  0.0 138:58 ksoftirqd_CPU1
    4 root      39  19     0    0     0 RWN  58.9  0.0 142:48 ksoftirqd_CPU0
1853 squid     20   0 11904  11M  1304 R    42.1  0.5  19:54 squid
2161 root      17   0  1128 1128   896 R     9.0  0.0   0:38 top
1615 root      16   0   812  812   668 S     8.4  0.0   1:05 in.telnetd
1394 root      15   0  2964 2964  2396 S     2.2  0.1   3:04 magicdev
1390 root      15   0  9204 9204  6804 S     0.9  0.4   1:02 nautilus
   20 root      16   0     0    0     0 SW    0.6  0.0   0:13 kjournald
  868 root      15   0   496  496   424 S     0.3  0.0   0:41 gpm
2160 root      15   0   972  972   756 S     0.3  0.0   0:43 top
1860 root      15   0  4260 4260  3388 S     0.1  0.2   0:07 gnome-terminal
    1 root      15   0   512  512   444 S     0.0  0.0   0:12 init
    2 root      15   0     0    0     0 SW    0.0  0.0   0:00 keventd


谢谢各位了！！！