1. Toy模板网首页
  2. > Toy博客

【iptables 实战】06 iptables网络防火墙实验

10月前 作者:suyukangchen 分类:Toy博客 阅读(46) 违法举报

这篇具有很好参考价值的文章主要介绍了【iptables 实战】06 iptables网络防火墙实验。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、现状说明

在上一节中,我们将两个网段的机器,通过中间机器的网络转发,能达到互通。再来回顾一下这个网络连接的图

【iptables 实战】06 iptables网络防火墙实验,iptables 实战,网络

这一节,我们将通过设置机器B的iptables规则,来做一些防火墙实验
机器A模拟公网的一台服务器,机器C模拟我们内网的一台机器。机器B充当路由器的角色

二、前置条件

2.1 三台机器的firewalld关闭,以免影响实验

[root@localhost ~]# systemctl stop firewalld && systemctl disable firewalld

2.2 为了不影响实验效果,我们先把机器B的iptables规则全清空

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 239 packets, 29542 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 6 packets, 504 bytes)
 pkts bytes target     prot opt in     out     source               destination

2.3 机器A安装httpd

由于开始我们的主机C设置的是一个hostOnly网络,是连不上互联网的,所以我们先连上互联网。把httpd安装上。先把主机A关机。添加一个nat网卡
【iptables 实战】06 iptables网络防火墙实验,iptables 实战,网络
【iptables 实战】06 iptables网络防火墙实验,iptables 实战,网络

这里的enp0s3就是nat网卡,通过启用enp0s3,就可以连上外网了
可以用浏览器试着访问百度,发现网络已经通了
安装httpd

[root@localhost ~]# yum install httpd
[root@localhost ~]# systemctl restart httpd
[root@localhost ~]# curl -X GET http://localhost

安装好httpd以后,禁用enp0s3的网卡

【iptables 实战】06 iptables网络防火墙实验,iptables 实战,网络

2.4 启动主机C的网络服务

由于重启了主机,所以重新把C->A的路由再设置一下

route add -net 192.168.56.0/24 gw 10.1.0.11

把主机B的iptables先清空,避免存在的规则影响实验
[root@localhost ~]# iptables -F
清空B的规则后,可以尝试用主机C ping A,可以发现,其实是通的

三、连通性实验

先试一下,A和C,互ping是不是通的,保证网络通畅的前提下,执行下面的操作
3.1 先拒绝所有转发
在主机B中FORWARD链的末端添加一条默认拒绝的规则,然后将”放行规则”设置在这条”默认拒绝规则”之前即可

[root@localhost ~]# iptables -A FORWARD -j REJECT

这时候,主机A和主机C已经不能互通了
A->C,ping 不通,A->B 能ping通(因为有交换机直连)

C->A,ping 不通,C->B 能ping通(因为有交换机直连)
3.2 设置主机B转发流量
如果我们想要使内部的主机C能够访问外部主机A(10.1.0.10)的web服务,我们应该怎样做呢?没错,我们需要在FORWARD链中放行内部主机对外部主机的web请求,只需如下配置即可

iptables -A FORWARD -j REJECT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

从主机C(10.1.0.10)访问主机A(192.168.56.104)
curl -X GET http://192.168.56.104:80
通了文章来源地址https://www.toymoban.com/news/detail-728204.html

四、总结

#如果想要iptables作为网络防火墙,iptables所在主机开启核心转发功能,以便能够转发报文。
#使用如下命令查看当前主机是否已经开启了核心转发,0表示未开启,1表示已开启
cat /proc/sys/net/ipv4/ip_forward
#使用如下两种方法均可临时开启核心转发,立即生效,但是重启网络配置后会失效。
方法一:echo 1 > /proc/sys/net/ipv4/ip_forward
方法二:sysctl -w net.ipv4.ip_forward=1
#使用如下方法开启核心转发功能,重启网络服务后永久生效。
配置/etc/sysctl.conf文件(centos7中配置/usr/lib/sysctl.d/00-system.conf文件),在配置文件中将 net.ipv4.ip_forward设置为1
 
#由于iptables此时的角色为"网络防火墙",所以需要在filter表中的FORWARD链中设置规则。
#可以使用"白名单机制",先添加一条默认拒绝的规则,然后再为需要放行的报文设置规则。
#配置规则时需要考虑"方向问题",针对请求报文与回应报文,考虑报文的源地址与目标地址,源端口与目标端口等。
#示例为允许网络内主机访问网络外主机的web服务与sshd服务。

iptables -A FORWARD -j REJECT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -d 10.1.0.0/16 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD -d 10.1.0.0/16 -p tcp --sport 22 -j ACCEPT

#可以使用state扩展模块,对上述规则进行优化,使用如下配置可以省略许多"回应报文放行规则"。

iptables -A FORWARD -j REJECT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -s 10.1.0.0/16 -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

到了这里,关于【iptables 实战】06 iptables网络防火墙实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • iptables 防火墙(二)

    iptables 防火墙(二)

    目录 1. SNAT 策略及应用 1.1 SNAT策略概述  1. 只开启路由转发,未设置地址转换的情况 2. 开启路由转发,并设置SNAT转换的情况 1.2 SNAT策略的应用 1. 2.1 共享固定IP上网 (1)打开网关的路由转发 (2)设置正确的SNAT策略 (3)测试SNAT共享接入结果 1.2.2 共享动态IP 地址上网 2. DN

    2024年02月03日
    浏览(51)
  • iptables防火墙详解

    iptables防火墙详解

    1.1 防火墙概念 从逻辑上讲,防火墙可以大体分为 主机防火墙和网络防火墙 。网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人) 主机防火墙:针对于单个主机进行防护 网络防火墙:往往处于网络入口或边缘,针对于网络入

    2024年02月04日
    浏览(55)
  • iptables防火墙(一)

    iptables防火墙(一)

    Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。 1.netfilter netfilter 属于\\\"内核态\\\"(Kernel Space,又称为内核空间)的防火墙功能体系。 netfilter是内核的

    2024年02月05日
    浏览(43)

  • Linux——iptables防火墙

    Linux系统的防火墙:IP信息包过滤系统,它实际上由两个net filter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。 netfilter:属于“内核态”(Kernel Space,又称内核空间)的防火墙功能体系 是内核的一部分,由一些数据包

    2024年02月07日
    浏览(41)

  • iptables安全与防火墙

    防火墙主要作用是隔离功能,它是部署在网络边缘或主机边缘;另外在生产中防火墙的主要作用是:决定哪些数据可以被外网访问以及哪些数据可以进入内网访问;顾名思义防火墙处于TCP协议中的网络层。 防火墙分类: 软件防火墙:360,iptables,firewalld 硬件防火墙:路由器

    2024年02月12日
    浏览(38)
  • iptables防火墙-NAT

    iptables防火墙-NAT

    工作在网络层和传输层,实现地址重写,实现端口重写     作用:①隐藏本地网路中主机地址                 ②节约IP地址的使用 分为DNAT和SNAT(互相对应的,需要查找NAT会话表)    SNAT:只是修改请求报文的源地址(为了隐藏真实服务器的IP地址)    DNAT:只是修改请

    2024年04月16日
    浏览(62)
  • 【Linux】iptables防火墙

    【Linux】iptables防火墙

    Linux 系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口、协议等信息的处理上。 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态\\\" iptables 位于/sbin/iptables,用来管

    2024年02月07日
    浏览(36)
  • 防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验 实验目的 通过本实验,你将了解NAT outbound 的工作原理及详细配置。 组网设备 USG防火墙一台,PC机两台。 实验拓扑图 实验步骤 - 1 配置PC1、PC3和PC2的IP地址分别为192.168.1.11/24、10.1.1.11/24、2.2.2.11/24。 2 设置防火墙GE0/0/0、GE0/0/3和GE0/0/1的

    2024年02月03日
    浏览(48)
  • 【网络系统集成】Pfsense防火墙实验

    【网络系统集成】Pfsense防火墙实验

    Pfsense防火墙实验 通过动手实践配置pfsense对加深对防火墙的原理与应用的理解。 WAN:192.168.91.128/24 LAN:10.0.1.1/24 DHCP地址池:10.0.1.10-10.0.1.20 基本配置完成:   此时主机不能使用icmp协议: 此时HTTP协议仍能使用,而HTTPS协议无法使用:   1.为LAN内的主机打开远程桌面服务,并添

    2024年02月13日
    浏览(41)
  • iptables防火墙和Firewalld

    iptables防火墙和Firewalld

    引言 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等,那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢,接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及

    2024年02月01日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包