NAT网关网络安全方案概述
NAT网关是通过定制安全策略允许到达与其相关联的阿里云弹性服务器(简称DCPS)的入站流量,以及允许离开阿里云弹性服务器的出站流量。默认情况下,NAT网关(拒绝)所有流量。NAT为阿里云弹性服务器DCPS提供有状态的防火墙,能够指定并记住为发送或接收信息包所建立的连接的状态,是一套用来设置、维护和检查阿里云弹性服务器外网通信的安全机制。
内网的DCPS访问公网,仅需要一台阿里云弹性服务器有一个公网和一个内网IP,其他的阿里云弹性服务器都只需一个内网IP,通过这台有公网IP的服务器做NAT网关,就可以实现所有的阿里云弹性服务器访问公网,用户还可以按照业务需要,仅仅允许特定的阿里云弹性服务器访问公网。
同理,公网访问内网的DCPS,通过这台有公网IP的服务器做NAT网关,映射相应的IP和端口号,就可以实现公网访问DCPS的业务应用系统或远程管理DCPS.
通过NAT网关,简化了网络架构,降低了公网IP的数量,增强了内网DCPS和业务应用系统的网络安全。
配置方案
配置命令的IP信息都是模拟的,请以购买的阿里云弹性服务器的IP信息替换。
注意:请谨慎关闭SSH登录22端口,关闭22端口会造成你不可从外部访问NAT网关和阿里云弹性服务器!
内网DCPS访问公网的配置方案
修改阿里云弹性服务器
1、通过NAT网关,SSH登录内部Serversshroot@172.16.0.4(密码是购买时手动设置的密码)
2、默认IP信息
3、修改阿里云弹性服务器为NAT网关的内网IP(如172.16.0.3):
vim/etc/sysconfig/network-scripts/ifcfg-eth0,添加一条GATEWAY=172.16.0.3,保存退出wq,重启服务生效servicenetworkrestart.
配置NAT网关系统策略
1、开启系统的路由转发功能:
编辑vimvi/etc/sysctl.conf文件,修改net.ipv4.ip_forward=1;sysctl–p不用重启系统,配置生效。
2、添加FORWARD转发规则
默认的iptables的策略是不允许流量的转发,所以需要先删除默认的不允许转发的规则;iptables-DFORWARD1,其中1代表FORWARD规则中的第一条规则。因为默认的只有一条FORWARD规则,所以只需要删除第一条即可。
iptables-AFORWARD-s172.16.0.0/16-ieth0-jACCEPT
允许转发来自内网网段(172.16.0.0/16)来自于内网网卡eth0的流量转发。
iptables-AFORWARD-mstate--stateRELATED,ESTABLISHED-jACCEPT
允许转发已经建立好链接的流量,不允许来自外网新的请求流量进来。
3、配置SNAT(内部DCPS通过NAT网关访问公网):
iptables-tnat-APOSTROUTING-s172.16.0.0/16-oeth1-jSNAT--to-source103.37.46.14
4、保存配置
serviceiptablessave
公网访问DCPS的配置方案
1、添加filter安全规则:
允许相应的业务被访问,如SSH22、NTP123、http80等TCP、UDP、ICMP服务。
Iptables-AINPUT-ieth1-ptcp-mstate--stateNEW-mtcp--dport22-jACCEPTiptables-AINPUT-ieth1–pudp-mstate--stateNEW-mtcp--dport123-jACCEPTiptables-AINPUT-ieth1-ptcp-mstate--stateNEW-mtcp--dport80-jACCEPT
2、配置DNAT(公网通过NAT网关访问阿里云弹性服务器)将TCP8888端口号,映射到CPS的SSH22端口。
Iptables–tnat-APREROUTING-ptcp-mtcp--dport8888-jDNAT--to-destination172.16.0.4:22
3、保存配置
serviceiptablessave
