Iptables番外篇-構(gòu)建網(wǎng)絡(luò)防火墻-創(chuàng)新互聯(lián)

前言

專注于為中小企業(yè)提供網(wǎng)站設(shè)計(jì)制作、網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)臨泉免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了上千余家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

本文旨在復(fù)習(xí)iptables FORWARD表的相關(guān)知識,構(gòu)建簡易實(shí)驗(yàn)環(huán)境,實(shí)現(xiàn)通過iptables構(gòu)建網(wǎng)絡(luò)防火墻。

iptables實(shí)現(xiàn)的防火墻功能:

    主機(jī)防火墻:服務(wù)范圍為當(dāng)前主機(jī)

    網(wǎng)絡(luò)防火墻:服務(wù)范圍為局域網(wǎng)絡(luò)

1. 實(shí)驗(yàn)拓?fù)?/strong>

Iptables番外篇-構(gòu)建網(wǎng)絡(luò)防火墻

2. 主機(jī)規(guī)劃

主機(jī)名
角色網(wǎng)卡IP地址
node1內(nèi)網(wǎng)主機(jī)vmnet2:eno16777736192.168.11.2/24
node2網(wǎng)關(guān)主機(jī)

vmnet2:eno16777736

橋接:eno33554984

192.168.11.1/24

172.16.52.52/16

node3外網(wǎng)主機(jī)橋接:eno16777736172.16.52.53/16

 說明:

 node1 添加一條默認(rèn)網(wǎng)關(guān)指向192.168.11.1

route add default gw 192.168.11.1

 node2 要開啟ip_forward功能

  sysctl -w net.ipv4.ip_forward=1

 內(nèi)網(wǎng)要與外網(wǎng)通訊node3還要添加一條指向192.168.11.0/24網(wǎng)絡(luò)路由

route add -net 192.168.11.0/24 gw 172.16.52.52

3.測試實(shí)驗(yàn)環(huán)境

node1:開啟httpd服務(wù),測試node3能否訪問

[root@node3 ~]# ping 192.168.11.2
PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.
64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms
64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms
[root@node3 ~]# curl 192.168.11.2
<h2>node1 apache sit<h2

4. 構(gòu)建iptables網(wǎng)絡(luò)防火墻

4.1 拒絕所有請求

[root@node2 ~]# iptables -A FORWARD -j DROP

4.2 開放所有ESTABLISED,RELATED的請求

[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

4.3 開放從內(nèi)網(wǎng)到外網(wǎng)所有為NEW的請求

[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT
[root@node2 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 113 packets, 9316 bytes)
 pkts bytes target     prot opt in     out     source               destination         
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   37  3108 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    3   236 ACCEPT     all  --  *      *       192.168.11.0/24      0.0.0.0/0            state NEW
  696 58080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes)
 pkts bytes target     prot opt in     out     source               destination

 現(xiàn)在內(nèi)網(wǎng)是可以訪問外網(wǎng)的,但是外網(wǎng)進(jìn)來的所有請求都被拒絕

4.4 開放從外到內(nèi)的21端口,22端口,23端口,80端口,狀態(tài)為NEW的請求

[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT

 node3:ftp測試訪問:

[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls             
`ls' at 0 [Making data connection...]

 RELATED狀態(tài)已經(jīng)追蹤,21號端口已經(jīng)開放,為什么還是不能訪問?因?yàn)閚f_conntrack_ftp 模塊沒有加載

 加載nf_conntrack_ftp 模塊:

[root@node2 ~]# modprobe nf_conntrack_ftp
[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls
drwxr-xr-x   
2 0        0               6 Nov 20  2015 pub

總結(jié):網(wǎng)關(guān)防火墻iptables策略做的是白名單,默認(rèn)拒絕所有,只有開放的服務(wù),外網(wǎng)才能訪問。內(nèi)網(wǎng)訪問外網(wǎng)沒有特殊情況一般為允許。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站名稱:Iptables番外篇-構(gòu)建網(wǎng)絡(luò)防火墻-創(chuàng)新互聯(lián)
分享鏈接:http://bm7419.com/article12/dihcdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、網(wǎng)站策劃、建站公司、定制開發(fā)、電子商務(wù)、品牌網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)