取消IPTABLES的包伪装定位主机（原创）

bobkey

取消IPTABLES的包伪装定位主机（原创）
author:bobkey
date:060412
mail:toqinbo@msn.com









这个是04年去客户那里解决问题写的一个笔记，技术比较老，关键是思路。


引子
某客户的网络很大，每个部门都是通过网关设备联入到大网，然后再通过路由器连接到INTERNET，但有些网关内的机器有病毒，联入大网后要跟踪定位到某楼层某交换某机器。而有些部门网关是IPTABLES做的。
iptables有NAT模式可以包伪装，通过网关出去后只看见网关地址，而这对后面的安全监控带来麻烦，比如某机器中了冲击波病毒，频繁往外445端口发包，但在IDS设备中只看见网关地址，所以必须把伪装功能取消。

具体设置如下：

iptables防火墙启动位置/etc/rc.d/rc.local
配置文件在/etc/firewall.net
以前的配置还存在/etc/firewall里

一、修改部分如下：
1、禁止tcp 135 137 139 445 udp 135137 138 445通过防火墙转发
2、允许XXX部门访问如下地址
10.1.1.28的tcp 53 80 110 2525
10.1.1.21 的tcp 80
3、把nat模式的masquerading包伪装去除
4、开内核包转发功能
5、把不需要的模块去除ip_conntrack_ftp和 ip_conntrack_irc
6、修正160行的语法错误。

二、添加策略方法
举例：禁止XXX部门机器进入10.1.1.x的tcp 135端口如下设置
链条名 内网卡 外网卡 目标地址
iptables -A INPUT -i eth1 -o eth1 -s 0/0 -d 10.1.1.x -p TCP --dport 135 -j DROP

三、启用了ip_conntrack 模块，可查看连接状态表脚本，可复制到一个文本，赋予执行权即可随时查看防火墙当前连接

#!/bin/bash
#network connection state for iptables
#author:bobkey
#mail:toqinbo@msn.com
#date:05/06/17
case "$1" in
-t)
cat -n /proc/net/ip_conntrack |grep tcp |awk '{print $2"\t"$5"\t"$6"\t"$7"\t"$8"\t"$9"\t"$11}'|more
echo
sun= cat /proc/net/ip_conntrack|grep -c src
echo
echo
echo
;;

-u)
cat -n /proc/net/ip_conntrack |grep udp |awk '{print $2"\t"$5"\t"$6"\t"$7"\t"$8"\t"$10}'|more
echo
sun= cat /proc/net/ip_conntrack|grep -c src
echo
echo
echo
;;

-a)
cat -n /proc/net/ip_conntrack |grep tcp |awk '{print $2"\t"$5"\t"$6"\t"$7"\t"$8"\t"$9"\t"$11}'|more
cat -n /proc/net/ip_conntrack |grep udp |awk '{print $2"\t"$5"\t"$6"\t"$7"\t"$8"\t"$10}'|more
echo
sun= cat /proc/net/ip_conntrack|grep -c src
echo
echo
echo
;;

*)
echo "Usage {-t Tcp | -u Udp }"
exit 1
esac
exit 0
编辑/删除帖子