概述
iptables是linux自带的防火墙软件,用于配置IPv4数据包过滤或NAT(IPv6用ip6tables)。
在linux上,防火墙其实是系统内核的一部分,基于Netfilter构架,基本原理就是在内核网络层数据包流经的不同位置放置一些钩子(hook),利用这些嵌入网络层的hook来对数据抓取、控制或修改,iptables其实只是默认的netfilter控制管理工具,所以使用ps或者top看不到有一个“防火墙”的进程存在,防火墙是不能被卸载也不能关闭的,大家熟知的"service iptables stop"或者“/etc/init.d/iptables stop”命令只不过是清空所有策略和表,并把默认策略改为ACCEPT(允许)而已。
iptables有以下几个重点概念::
**table(表):**iptables内置4个table,不同的table代表不同的功能,每个table可以包含许多chain,不同类型的table对所能包含的chain和策略中的target的使用做了限定,一些target不能在一些table中使用。用户不能自定义table;
chain(链):chain可用包括一系列的策略,通过配置不同的chain可以对不同作用的策略进行分类,iptables内置5个chain对应netfilter的5个hook,用户也可以自定义chain;
command(命令):command是对表或链的操作动作,比如添加、删除、修改等等;
rule-specification(策略):包括下面的匹配规则和目标;
match(匹配规则):定义本条策略适用于那些数据包,匹配规则可以包括协议、源/目的地址、端口等等;
target(目标):对匹配上规则的数据包采取的操作,target可以是一个动作或者自定义chain,常见的动作有丢弃(DROP)、允许(ACCEPT)、NAT等等,当target是自定义chain时,数据包进入自定义chain继续匹配;
policy(默认策略):内置chain的默认动作,每个chain只能有一个policy,如果数据包匹配某条chain匹配完最后一条策略依然没有匹配上,那么就采用policy的默认动作。policy不匹配规则,而且target只能是丢弃(DROP)或允许(ACCEPT),自定义chain不能定义policy。
前言
最近遇到这样一个问题,我在实验室架设了一台服务器,给师弟或者小伙伴练习Linux用,然后平时在实验室这边直接连接是没有问题的,都是内网嘛。但是回到宿舍问题出来了,使用校园网的童鞋还是能连接上,使用外网的小土豪就没有办法进入内网。这时能不能有一个办法可以使得通过外网连接到内网的服务器呢?答案是有的,不过这里就需要以下条件:一台在外网能访问到的服务器。
这里用Nginx1.2.0+mysql5.6.33+php5.6.2搭配安装环境
表
iptables的4个表分别是:
filter(过滤):数据包过滤/拦截,可以包含INPUT、FORWARD、OUTPUT这3个内置chain。
nat(地址转换):IP地址或端口号转换,可以包含PREROUTING、OUTPUT、POSTROUTING 3个内置chain,nat table在会话建立时会记录转换的对应关系,同一会话的回包和后续报文会自动地址转换,这是因为nat使用了ip_conntrack模块。
mangle(包管理):用来修改IP报文,可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5个内置chain。
raw:此表的优先级高于ip_conntrack模块和其它的table,主要用于将有会话状态的连接(比如tcp)的数据包排除在会话外。可以包含POSTROUTING、OUTPUT两个内置chain。
看到这里肯定会有这样的疑问,为什么table只能包含一些而不是全部的chain呢?我想这个构架是按需设计而不是按功能设计的,尽管table不是包含所有的chain,但是每种功能的table都包含了实现这种功能所需的chain,即使包含更多的chain也是累赘或者无用的,而且实际上用起来也的确如此,够用了。
还有就是不同table生效优先顺序问题,先后优先级是这样的:
raw > mangle > nat > filter
所以,如果有filter禁止ping目的地址2.2.2.2,而nat又有策略将目的地址1.1.1.1转换成2.2.2.2,那么ping 1.1.1.1是ping不通的。
不过一般情况下filter是不会和nat的策略打起架来,比如INPUT chain能做filter,却不能做nat,PREROUTING能做nat却不能做filter,而且PREROUTING只能做目的地址转换,不会对源地址过滤的需求造成麻烦,所以通常是不会相互干扰的。
1. 描述一下目前的机器状况,梳理梳理:
| 机器 | IP | 用户名 | 备注 |
|---|---|---|---|
| A | 10.21.32.106 | gdut728 | 目标服务器,处于内网 |
| B | 123.123.123.123 | root | 外网服务器,相当于桥梁的作用 |
PS:123.123.123.123只是我随意起的,大家请别攻击别人的服务器啊啊啊
---------------------------------------------Nginx BEGIN---------------------------------------------
链
iptables内置的5个chain:PREROUTING、INPUT、OUPUT、FORWARD、POSTROUGING,这5个chain分别与netfilter中数据转发路径上的5个不同的位置挂钩,以匹配筛选不同类型的数据流,如下图所示:
其中:
PREROUTING链:应用于所有进入机器的ip包,包括目的地址是本机和目的地址非本机的包。
INPUT链:应用于所有目的是本机的包,也就是目的IP是本机接口地址,所有发给本地socket的数据都经过它。
OUPUT链:应用于所有由本机产生的包,所有应用程序发出的数据都经过它。
FORWARD链:应用于所有经过路由决策被转发的包,也就是目的地址不是本机的数据包。
POSTROUGING链:应用于所有发出机器的IP包,包括本机发出的和从本机转发的数据包。
策略匹配按照重上到下的顺序进行,当测试到某策略匹配时执行target并跳出,不再向下匹配,当测试到最后一条策略仍不匹配时,则采用policy指定的动作,如下图:
除了内置chain外,还可以自定义chain,自定义chain并不能利用netfilter的hook来捕捉数据包,但是可用于策略的分类,比如有3类不同的用户访问主机上的不同服务,如果所有策略都放在INPUT chain中策略会多而难以维护,这个时候就可以定义3个自定义chain,分别配置不同的策略,同时在INPUT chain中添加策略对来访者分类并将目标指向3个自定义chain。
自定义chain大显神威的地方在于动态生成策略,例如VPN服务器上,需要对不同分组的用户区别对待管理,但是用户IP是随机分配的,不能根据IP来区分用户组,这时候可以预先定义好各组chain,利用VPN服务端软件的一些钩子,当用户登陆时自动添加策略引导到自定义chain上来匹配。如果这时候没有自定义chain,那么策略的数量将是(用户数×所属组策略数),每增加一个用户,都要把所属组的全部策略添加一遍,这样大量的时间花费在策略匹配上,性能下降很快。
2. 解决方法:
通俗地说:就是在机器A上做到B机器的反向代理;然后在B机器上做正向的代理实现本地端口的转发
使用命令下载nginx安装包,用的是稳定版, 这里下载: <nginx1.6.2>
命令
命令用来操作表和链,可以做这些操作:
- 清空一个table中包含的所有chain
- 创建、重命名或删除一个自定义chain,清空一个内置chain或者给内置chain设置policy(默认策略)
- 在某个chain中追加、删除、修改一条策略
- 显示策略
由于本文只讲概念和原理,所以暂时不提命令,命令的详细使用方法会在“iptables实用教程(二)”里说明。
原文地址:
如果觉得本文对您有帮助,请扫描后面的二维码给予捐赠,您的支持是作者继续写出更好文章的动力!
2.1 实现前的准备
每台都要安装ssh的客户端。
在这里我使用的是centos7,都自带ssh。如果是使用其他版本Linux,请手动Google一下咯。
下载下来后就解压一下
2.2 介绍一下使用到的ssh参数:
反向代理
ssh -fCNR
解压后得到一个nginx-1.12.0的文件夹
正向代理
ssh -fCNL
-f 后台执行ssh指令
-C 允许压缩数据
-N 不执行远程指令
-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口
-L 将本地机(客户机)的某个端口转发到远端指定机器的指定端口
-p 指定远程主机的端口
******************区分大小写啊各位亲******************
3. 首先在A上面操作:
建立A机器到B机器的反向代理,具体指令为
ssh -fCNR [B机器IP或省略]:[B机器端口]:[A机器的IP]:[A机器端口] [登陆B机器的用户名@服务器IP]
在这里我使用了B机器的7280端口,以及A机器的22端口,按照上面的指令就是这样子的操作
ssh -fCNR 7280:localhost:22 root@123.123.123.123
检验是否已经启动了可以使用ps aux | grep ssh指令来查看:
进入文件夹, 运行命令:
4. 接着在B上面操作:
建立B机器的正向代理,用来做转发,具体指令为
ssh -fCNL [A机器IP或省略]:[A机器端口]:[B机器的IP]:[B机器端口] [登陆B机器的用户名@B机器的IP]
按照第3那里输入的指令,这里的B机器的端口和上面的B机器的端口是一致的,端口1234的也是B机器的。
ssh -fCNL *:1234:localhost:7280 localhost
检验是否已经启动了可以使用ps aux | grep ssh指令来查看:
在此1234端口为本地转发端口,负责和外网进行通信,并将数据转发的7280这个端口,实现了可以从其他机器访问的功能。同时,*号表示可以接受任何IP的访问。
5. 展现奇迹的时候到了
至此我们都配置好了AB机器,那么我们就可以从一部外网的电脑登陆到内网里面去啦。鉴于我目前的电脑在内网,而服务器都是外网的(也就是配置的B机器),所以可以通过B机器连接到我内网的A中,具体指令为:
ssh -p1234 gdut728@123.123.123.123
在此-p参数为指定登陆的IP,我们在上面指定了1234端口为转发端口,故用1234端口登陆,然后gdut728是内网A机器的用户名,123.123.123.123为外网B机器的IP地址。
回车运行脚本配置后, 这里要注意一下, 有可能会缺失zlib, ssh等库, 这个没关系, 查找 sudo apt-cache search xxx(库) 然后 sudo apt-get install xxx(对应库名) 就行了
6. 这种反向代理的方式是不稳定的
不幸的是这种ssh反向链接会因为超时而关闭,如果关闭了那从外网连通内网的通道就无法维持了,为此我们需要另外的方法来提供稳定的ssh反向代理隧道。
这里可以参考: Nginx官网安装 的文章
6.1 ssh每次重连都需要键入密码,故在此首先设置免密码登陆到内网
在内网的机器A上面执行:
ssh-copy-id 外网用户名@外网IP
按照之前我设定的端口,这个指令就是如下
ssh-copy-id root@123.123.123.123
那以后这台内网的A机器ssh登陆我外网的B机器就可以免密码登陆啦~
检验是否已经可以使用免密码登陆可以使用如下指令来检验:
ssh root@123.123.123.123
成功后再运行:
6.2 用autossh建立稳定隧道
centos7上没有默认安装autossh的,所以使用一下命令安装
yum install autossh
来看看具体的autossh的指令为
autossh -M 7281 -fCNR 7280:localhost:22 root@123.123.123.123
autossh的参数与ssh的参数是一致的,但是不同的是,在隧道断开的时候,autossh会自动重新连接而ssh不会。另外不同的是我们需要指出的-M参数,这个参数指定一个端口,这个端口是外网的B机器用来接收内网A机器的信息,如果隧道不正常而返回给A机器让他实现重新连接。
sudo make
sudo make install
7. 最后配置在Linux上配置开机自动启动autossh,免去了重启Linux后要自己启动的autossh的麻烦
输入:
vi /etc/rc.d/rc.local
添加内容:
autossh -M 7281 -fCNR 7280:localhost:22 root@123.123.123.123
因为centos7之后,原来直接修改
/etc/rc.d/rc.local启动脚本自动生效的功能因为修改了需要重新赋予可执行权限
再输入 chmod +x /etc/rc.d/rc.local
要想加入自启动的话, 得在/etc/init.d/ 下建nginx 里面填上
8. 结言:
总算配置好了,目前不清楚会不会断线,明天看看什么情况再进行更新吧。如有不对之处,请大家指正提出~
参考以下网站
从外网 SSH 进局域网,反向代理+正向代理解决方案
使用SSH反向隧道进行内网穿透
#! /bin/sh
###BEGIN INIT INFO
# Provides: nginx
# Required-Start: $all
# Required-Stop: $all
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: starts the nginx web server
# Description: starts nginx using start-stop-daemon
### END INIT INFO
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DAEMON=/usr/local/nginx/sbin/nginx
NAME=nginx
DESC=nginx
test -x $DAEMON || exit 0
# Include nginx defaults if available
if [ -f /etc/default/nginx ] ; then
. /etc/default/nginx
# . /usr/local/nginx/conf
fi
set -e
. /lib/lsb/init-functions
case "$1" in
start)
echo -n "Starting $DESC: "
start-stop-daemon --start --quiet --pidfile /usr/local/nginx/logs/$NAME.pid
--exec $DAEMON -- $DAEMON_OPTS || true
echo "$NAME."
;;
stop)
echo -n "Stopping $DESC: "
start-stop-daemon --stop --quiet --pidfile /usr/local/nginx/logs/$NAME.pid
--exec $DAEMON || true
echo "$NAME."
;;
restart|force-reload)
echo -n "Restarting $DESC: "
start-stop-daemon --stop --quiet --pidfile
/usr/local/nginx/logs/$NAME.pid --exec $DAEMON || true
sleep 1
start-stop-daemon --start --quiet --pidfile
/usr/local/nginx/logs/$NAME.pid --exec $DAEMON -- $DAEMON_OPTS || true
echo "$NAME."
;;
reload)
echo -n "Reloading $DESC configuration: "
start-stop-daemon --stop --signal HUP --quiet --pidfile /usr/local/nginx/logs/$NAME.pid
--exec $DAEMON || true
echo "$NAME."
;;
status)
status_of_proc -p /usr/local/nginx/logs/$NAME.pid "$DAEMON" nginx && exit 0 || exit $?
;;
*)
N=/etc/init.d/$NAME
echo "Usage: $N {start|stop|restart|reload|force-reload|status}" >&2
exit 1
;;
esac
exit 0
启动nginx 和看是否启动进程成功
浏览器运行 localhost 看到这个就说明启动成功了:
---------------------------------------------Nginx END---------------------------------------------
---------------------------------------------MySQL BEGIN---------------------------------------------
1 通过命令下载:
本文由金沙澳门官网网址发布于金沙澳门官网网址,转载请注明出处:基本概念和原理,编译安装搭配LNMP
关键词: