千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

Iptables番外篇-构建网络防火墙

发表于:2024-11-23 作者:千家信息网编辑
千家信息网最后更新 2024年11月23日,前言本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。iptables实现的防火墙功能:主机防火墙:服务范围为当前主机网络防火墙:服务
千家信息网最后更新 2024年11月23日Iptables番外篇-构建网络防火墙

前言

本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。

iptables实现的防火墙功能:

主机防火墙:服务范围为当前主机

网络防火墙:服务范围为局域网络


1. 实验拓扑



2. 主机规划


主机名
角色网卡IP地址
node1内网主机vmnet2:eno16777736192.168.11.2/24
node2网关主机

vmnet2:eno16777736

桥接:eno33554984

192.168.11.1/24

172.16.52.52/16

node3外网主机桥接:eno16777736172.16.52.53/16

说明:

node1 添加一条默认网关指向192.168.11.1

route add default gw 192.168.11.1

node2 要开启ip_forward功能

  sysctl -w net.ipv4.ip_forward=1

内网要与外网通讯node3还要添加一条指向192.168.11.0/24网络路由

route add -net 192.168.11.0/24 gw 172.16.52.52


3.测试实验环境

node1:开启httpd服务,测试node3能否访问

[root@node3 ~]# ping 192.168.11.2PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms
[root@node3 ~]# curl 192.168.11.2
node1 apache sit


4. 构建iptables网络防火墙
4.1 拒绝所有请求
[root@node2 ~]# iptables -A FORWARD -j DROP

4.2 开放所有ESTABLISED,RELATED的请求
[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


4.3 开放从内网到外网所有为NEW的请求

[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT
[root@node2 ~]# iptables -vnLChain INPUT (policy ACCEPT 113 packets, 9316 bytes) pkts bytes target     prot opt in     out     source               destination         Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination            37  3108 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED    3   236 ACCEPT     all  --  *      *       192.168.11.0/24      0.0.0.0/0            state NEW  696 58080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes) pkts bytes target     prot opt in     out     source               destination
现在内网是可以访问外网的,但是外网进来的所有请求都被拒绝

4.4 开放从外到内的21端口,22端口,23端口,80端口,状态为NEW的请求
[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT


node3:ftp测试访问:
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> ls             `ls' at 0 [Making data connection...]

RELATED状态已经追踪,21号端口已经开放,为什么还是不能访问?因为nf_conntrack_ftp 模块没有加载

加载nf_conntrack_ftp 模块:
[root@node2 ~]# modprobe nf_conntrack_ftp
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> lsdrwxr-xr-x   2 0        0               6 Nov 20  2015 pub

总结:网关防火墙iptables策略做的是白名单,默认拒绝所有,只有开放的服务,外网才能访问。内网访问外网没有特殊情况一般为允许。
很赞哦!
主机 防火墙 防火 网络 端口 开放 服务 网关 实验 测试 功能 指向 服务范围 模块 状态 环境 范围 加一 特殊 前言 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 杨晋 网络安全宣传周 计算机二级级网络技术 佳豪网络安全插画 网络安全领域的创新成果 惠普服务器售后维修服务点 网上书店系统设计数据库 邮件服务器不安全配置 进行具体的网络安全 服务器风扇8线怎么接线 数据库表连接和子查询的区别 商用流媒体服务器谁做 汉阳区海航网络安全维护管理系统 数据库mysql怎么设置外键 网络安全本科有什么课程 公安网络安全管理大队职能 数据库系统当前时间代码 winpe 服务器版 网络安全法的启发和感受 全面战争模拟器数据库 普陀区银联软件开发哪家好 dropwizard操作数据库 html5数据库最后一行 做网络安全技术的企业 日常网络安全存在的问题 顽途网络技术有限公司 中央企业网络安全大会 睡眠时间表软件开发 pptp服务器地址分享 手机游戏云服务器都是怎么做的 战例数据库

相关文章

0