接上一節(jié)

備份和還原

iptables-save > /opt/iptables.bak

iptables-restore < /opt/iptables.bak

snat和dnat

snat源地址轉(zhuǎn)換
內(nèi)網(wǎng)到外網(wǎng) 內(nèi)網(wǎng)ip轉(zhuǎn)換成可以訪問外網(wǎng)的ip
內(nèi)網(wǎng)的多個(gè)主機(jī)可以只有一個(gè)有效的公網(wǎng)ip地址訪問外部網(wǎng)絡(luò)

dnat 目的地址轉(zhuǎn)發(fā)
外部用戶，可以通過一個(gè)公網(wǎng)地址訪問服務(wù)內(nèi)部的私網(wǎng)服務(wù)。
私網(wǎng)的ip和公網(wǎng)ip做一個(gè)映射

snat源地址轉(zhuǎn)換
iptables -t nat -A POSTROUTING -s 192.168.233.0/24 -o ens36 -j SNAT --to 10.0.0.10
-A POSTROUTING用于在包路由之后修改源地址（當(dāng)包從內(nèi)部網(wǎng)絡(luò)路由到外部網(wǎng)絡(luò)時(shí)）
-t nat 指定表為nat表
-A POSTROUTING A添加 離開本機(jī)之后規(guī)則
-s 指定源ip
-o指定輸出網(wǎng)絡(luò)設(shè)備
-j 控制類型 SNAT源地址
–to 指定整個(gè)網(wǎng)段 192.168.233.0/24 從ens36出去時(shí)做源地址轉(zhuǎn)換 成 10.0.0.10

DNAT 目的地址轉(zhuǎn)換
iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.233.10
-A PREROUTING在路由決策之前修改目標(biāo)地址
-d 11.0.0.11 指定做為目的地址轉(zhuǎn)換的ip地址
-i從指定的設(shè)備進(jìn)入本機(jī)
-p指定協(xié)議
–dport指定端口
-j DNAT使用目的地址轉(zhuǎn)換
–to 192.168.233.10
外網(wǎng)想要訪問內(nèi)網(wǎng)的192.168.233.10:80的這個(gè)web服務(wù)。只需要訪問11.0.0.11就可以訪問內(nèi)網(wǎng)的web服務(wù)。
12.0.0.100 > 11.0.0.11 > 192.168.233.10

linux當(dāng)中如何抓包：

tcpdump linux自帶的抓包工具 完全安裝自帶 最小化安裝需要自己安裝
靜態(tài)和動(dòng)態(tài)抓包
靜態(tài):
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.233.0/24 -w /opt/target.cap
tcp 指定抓包的協(xié)議 (tcp udp icmp) 第一個(gè)參數(shù) 可以不指定協(xié)議
-i 只抓經(jīng)過指定設(shè)備(ens33)的包
-t:不顯示時(shí)間戳
-s0:抓完整的數(shù)據(jù)包
-c10:抓幾個(gè)數(shù)據(jù)包
dst port :指定抓包的目的端口
src net 192.168.233.0/24 :指定抓包的ip地址
寫net代表網(wǎng)段
host代表主機(jī)(ip地址)
-w 保存指定路徑
使用sz target.cap 把文件下載下來 可以直接用實(shí)體機(jī) wireshark軟件打開 分析

注意 如果要用wireshark對數(shù)據(jù)包進(jìn)行分析, tcpdump在抓包時(shí)，要使用-s0,抓取完整格式， 否則wireshark無法分析。

動(dòng)態(tài)抓包
tcpdump -i ens33 -s0 -w /opt/ens33.cap

firewalld

firewalld是centos7自帶的 7以前的默認(rèn)是iptables

firewalld是按照區(qū)域來進(jìn)行劃分 包過濾防火墻
public 公共區(qū)域(默認(rèn)區(qū)域) 默認(rèn)配置了ssh以及DHCPv6預(yù)定服務(wù)放通，其他拒絕
trusted 信任區(qū)域 允許所有的數(shù)據(jù)包放通
block 限制區(qū)域 拒絕所有
drop 丟棄區(qū)域 丟棄所有數(shù)據(jù)包
dmz 非軍事區(qū)域 默認(rèn)只允許ssh
home 家庭區(qū)域 默認(rèn)只允許ssh
internal 內(nèi)部區(qū)域 和home一樣
external 外部區(qū)域 默認(rèn)只允許ssh
work 工作區(qū)域 默認(rèn)放通ssh