设置 IPTables

设置 IPTables

我正在尝试从我们的产品中删除一个路由器,并使用 iptables 替换其所有功能。

该系统需要执行一般流量控制以及将数据转发到 LAN 后面的特定服务器。当前设置是 -

  • eth0——外部
  • eth1——内部
  • eth2——内部
  • eth3——内部

eth0 通过 DHCP 获取 IP。

eth1、eth2 和 eth3 构成桥接器 (br0) 的一部分,其静态地址为 10.0.1.1。

10.0.1.2 上有一台服务器,需要处理 HTTP 和 MySQL 流量。无法保证这台服务器将插入哪里(eth1/2/3),但 IP 是静态的。

我曾尝试设置 iptables 规则,这些规则似乎仅使用一个 eth 设备就很容易遵循,但是当需要转发时,我就会陷入困境。

这是我迄今为止尝试过的:

# clear and flush everything
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -t security -F
iptables -t security -X

# DROP packets unless covered by rules
iptables -P FORWARD DROP
iptables -P INPUT   DROP
# No intention of filtering any outgoing traffic
iptables -P OUTPUT ACCEPT

# Handle our routing
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80   -j DNAT --to 10.0.1.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to 10.0.1.2:3306

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Input Chain
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0     -p tcp --dport 22   -j ACCEPT   # ssh
iptables -A INPUT -s 10.0.1.2 -p tcp --dport 3306 -j ACCEPT   # ssh

# Forward Chain
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 80   -d 10.0.1.2 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 3306 -d 10.0.1.2 -j ACCEPT

# enable ipv4 forwardning for the system
echo 1 > /proc/sys/net/ipv4/ip_forward

这给了我最终的链/规则设置 -

Chain INPUT (policy DROP 1 packets, 49948 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    1    52 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       10.0.1.2             0.0.0.0/0            tcp dpt:3306

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            10.0.1.2             tcp dpt:80
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            10.0.1.2             tcp dpt:3306

Chain OUTPUT (policy ACCEPT 1 packets, 196 bytes)
 pkts bytes target     prot opt in     out     source               destination   

但是,我无法通过经外部接口(防火墙外)连接的客户端登录到我的内部 MySQL 服务器。

我读到过数据包只通过每个链(输入/转发/输出),但这里还是这种情况吗?我的转发数据包是否会在单独的接口上再次作为输入处理?

上述配置中有什么明显的错误吗?

配置详细信息 -

输出netstat -rn

来自一位客户从...连接

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.0.139      0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U         0 0          0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 br0

Telnet 按预期连接。

来自一位客户不能从...连接

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.0.139      0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.0.0     U         0 0          0 wlan0

Telnet 只是显示Trying 10.0.0.17...并且实际上从未成功......

网络描述 -

10.0.0.0是一般办公网络,防火墙盒子上的eth0接口接在这里,它的IP地址目前是10.0.0.17……

10.0.1.0 是位于防火墙 eth1/2/3 后面的网络。

我想使用分配给 eth0 (10.0.0.17) 的 IP 地址访问防火墙后面的服务器。

答案1

由于您列出了可以连接的客户端,因此您的设置没有任何问题iptables。然而,这并不是全部:客户端必须有一条路由才能到达服务器的转发地址,而服务器必须有一条返回路由,这样数据包才能到达转发地址。

正常工作的客户端在 10.0.1.0/24 网络上具有一些物理存在,因此有到该网络的路由:

10.0.1.0        0.0.0.0         255.255.255.0   U         0 0          0 br0

客户端不仅没有到 10.0.1.0/24 的路由,而且还有到 10.0.0.0/16 的更通用路由,可以从其无线网卡发送流量。

现在你还没有告诉我们这一切发生所在的网络的几何形状;从重叠空间的 /24 和 /16 网络掩码之间的混淆来看,我猜这一切都有点混乱(这不能保证;这样做有正当的理由,但他们通常比愚蠢的人多)。此外,您的网络细节只对您有趣。

但结果是,任何想要到达那里的客户端10.0.1.2首先必须知道如何到达 10.0.1.0/24,而且这必须是一个正确的想法。

以与您的网络几何相一致的方式修复客户端上的路由表,一切都会得到改善。

相关内容