千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

Iptables番外篇-构建网络防火墙

发表于:2025-01-20 作者:千家信息网编辑
千家信息网最后更新 2025年01月20日,前言本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。iptables实现的防火墙功能:主机防火墙:服务范围为当前主机网络防火墙:服务
千家信息网最后更新 2025年01月20日Iptables番外篇-构建网络防火墙

前言

本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。

iptables实现的防火墙功能:

主机防火墙:服务范围为当前主机

网络防火墙:服务范围为局域网络


1. 实验拓扑



2. 主机规划


主机名
角色网卡IP地址
node1内网主机vmnet2:eno16777736192.168.11.2/24
node2网关主机

vmnet2:eno16777736

桥接:eno33554984

192.168.11.1/24

172.16.52.52/16

node3外网主机桥接:eno16777736172.16.52.53/16

说明:

node1 添加一条默认网关指向192.168.11.1

route add default gw 192.168.11.1

node2 要开启ip_forward功能

  sysctl -w net.ipv4.ip_forward=1

内网要与外网通讯node3还要添加一条指向192.168.11.0/24网络路由

route add -net 192.168.11.0/24 gw 172.16.52.52


3.测试实验环境

node1:开启httpd服务,测试node3能否访问

[root@node3 ~]# ping 192.168.11.2PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms
[root@node3 ~]# curl 192.168.11.2
node1 apache sit


4. 构建iptables网络防火墙
4.1 拒绝所有请求
[root@node2 ~]# iptables -A FORWARD -j DROP

4.2 开放所有ESTABLISED,RELATED的请求
[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


4.3 开放从内网到外网所有为NEW的请求

[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT
[root@node2 ~]# iptables -vnLChain INPUT (policy ACCEPT 113 packets, 9316 bytes) pkts bytes target     prot opt in     out     source               destination         Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination            37  3108 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED    3   236 ACCEPT     all  --  *      *       192.168.11.0/24      0.0.0.0/0            state NEW  696 58080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes) pkts bytes target     prot opt in     out     source               destination
现在内网是可以访问外网的,但是外网进来的所有请求都被拒绝

4.4 开放从外到内的21端口,22端口,23端口,80端口,状态为NEW的请求
[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT


node3:ftp测试访问:
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> ls             `ls' at 0 [Making data connection...]

RELATED状态已经追踪,21号端口已经开放,为什么还是不能访问?因为nf_conntrack_ftp 模块没有加载

加载nf_conntrack_ftp 模块:
[root@node2 ~]# modprobe nf_conntrack_ftp
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> lsdrwxr-xr-x   2 0        0               6 Nov 20  2015 pub

总结:网关防火墙iptables策略做的是白名单,默认拒绝所有,只有开放的服务,外网才能访问。内网访问外网没有特殊情况一般为允许。
很赞哦!
主机 防火墙 防火 网络 端口 开放 服务 网关 实验 测试 功能 指向 服务范围 模块 状态 环境 范围 加一 特殊 前言 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 数据库表设计思路反范式 市南区安卓软件开发企业 邯郸县首创网络技术 常用的网络安全产品主要包括 ff14转服务器打折吗 河北智能软件开发需要多少钱 奉贤区一站式数据库服务制品价格 医疗机构数据库 服务器安全狗卸载 新华互联网科技学院怎么样 塔式服务器的操作系统怎么安装 网络安全策略设计流程 通过输入内容添加数据库 极下解析服务器错误 独立云服务器租用 更换税控盘后打开数据库异常 安全wifi服务器地址 开展网络安全监测工作 远程访问家里数据库 嘉兴租房软件开发 物理和网络安全评估分析 伊嘉网络技术有限中山分公司 数据库增加几行 华为的软件开发人员是谁 达梦数据库董事长冯裕 广州net软件开发多少钱 服务器安全狗卸载 苹果服务器在中国安全吗 数据库文件怎么打包下载 linux服务器书籍

相关文章

0