防火墙Iptables配置实战

已于 2025-06-03 22:15:20 修改
阅读量418 收藏 5
点赞数 5
文章标签: 网络 linux 运维
于 2025-06-03 21:52:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2503_91960849/article/details/148410716
版权

网络规划

在这里插入图片描述

主机规划

  • insdie_PC位于内网区域,地址网段为192.168.1.0/24,地址为192.168.1.1/24,网关为192.168.1.254/24
  • 服务器S1位于服务器区域,地址段为: 192.168.2.0/24,pc1地址为:192.168.2.1/24,网关地址为:192.168.2.254/24
  • PC2位于互联网区域,模拟外部互联网,地址段为:10.0.0.0/8,pc2地址为:10.0.0.1/8
  • Linux防火墙的三块网卡为别连接不同的网络区域,地址分别为 :ens160 192.168.1.254/24;ens192 192.168.2.254/24;ens224 10.0.0.100/8

防火墙要求

  • 内部网络中的inside_PC采用SNAT访问外部互联网,但是无法ping到内部网关
  • 内部网络服务器inside_server通过DNAT发布服务到互联网
  • 互联网主机outside_PC能够访问DMZ区域的服务器,但是不能够进行ping和ssh连接。

主机环境准备

Firewall

  • 配置防火墙IP并禁用firewalld和selinux,下列主机同关闭
systemctl disable --now firewalld
setenforce 0
nmcli connection modify ens160 ipv4.method manual ipv4.address 192.168.1.254/24
nmcli connection add ens192 ipv4.mehtod manual ipv4.address 192.168.2.254/24
nmcli connection add ens224 ipv4.mehod manual ipv4.address 10.0.0.100/8
nmcli connection down ens160 && nmcli connection up ens160
nmcli connection down ens192 && nmcli connection up ens192
nmcli connection down ens224 && nmcli connection up ens224

在这里插入图片描述
在这里插入图片描述

  • 打开firewall路由转发
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

在这里插入图片描述

inside_PC

  • 配置inside_PC的IP
nmcli connection modify ens160 ipv4.method manual ipv4.address 192.168.1.1/24 ipv4.gateway 192.168.1.254
nmcli connection down ens160 && nmcli connection up ens160

在这里插入图片描述

在这里插入图片描述

inside_server

  • 配置inside_server并安装nginx
nmcli connection modify ens160 ipv4.method manual ipv4.address 192.168.2.1/24 ipv4.gateway 192.168.2.254
nmcli connection down ens160 && nmcli connection up ens160
配置静态源后安装nginx
yum -y install nginx
echo "192.168.2.1" > /usr/share/nginx/html/index.html
nginx

在这里插入图片描述
在这里插入图片描述

outside_PC

nmcli connection modify ens160 ipv4.method manual ipv4.address 10.0.0.1/8
nmcli connection down ens160 && nmcli connection up ens160

在这里插入图片描述

在这里插入图片描述

环境检测

  • 测试各个主机之间连接情况

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

防火墙配置及测试

  • inside_PC采用SNAT访问外部互联网
#该为静态的公网IP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens224 -j SNAT --to 10.0.0.100
#转为非固定的动态公网IP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens224 -j MASQUERADE

在这里插入图片描述
在这里插入图片描述

  • 内部网络服务器inside_server通过DNAT发布服务到互联网
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:80#将所有tcp/80访问转发给192.168.2.1:80处理

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  • 互联网主机outside_PC能够访问DMZ区域的服务器,但是不能够进行ping和ssh连接。
iptables -A INPUT -p icmp --icmp-type echo-request -s 10.0.0.1 -j DROP
iptables -A INUPUT -p tcp -s 10.0.0.1 --dport 22 -j DROP

在这里插入图片描述
在这里插入图片描述

莫到空离
关注
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 770
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则。
iptables防火墙规则配置
07-23
iptables防火墙规则配置
深入解析iptables防火墙配置实战应用
10-11
内容概要:《iptables 防火墙应用与技术》详细介绍了iptables作为一种高效的Linux内置防火墙的功能、概念以及具体的操作方法。内容涵盖了iptables的不同应用场景、各种常见网络攻击防御(如SYN Flood攻击)、实用配置技巧及其与其他安全系统的整合使用等方面的内容。通过理论讲解与实战练习的组合形式帮助用户全面了解iptables。 适合人群:适用于具有一定网络安全管理技能的IT管理员以及有兴趣于深入了解Linux系统的网络防护机制的技术人员。 使用场景及目标:针对不同的网络威胁和安全保护的需求制定合适的iptables策略,保障Linux服务器的网络通信安全性。 其他说明:此外,《iptables 防火墙应用与技术》提供的教程包含了丰富的案例分析,旨在帮助学习者通过具体的例子加深对于iptables配置的理解,并能够在自己的环境中复制这些场景加以实际运用,进而达到保护网络资产安全的目标。
防火墙系统通常由什么组成/开源防火墙系统-手把手教黑客笔记
程序员六七的博客
06-05 980
Linux系统iptables防火墙实战指南~
防火墙iptables项目实战
m0_74617719的博客
06-04 1117
服务器S1位于服务器区域,地址段为: 192.168.2.0/24,pc1地址为:192.168.2.1/24,网关地址为:192.168.2.254/24。内部PC1位于内网区域,地址段为: 192.168.1.0/24,pc1地址为:192.168.1.1/24,网关地址为:192.168.1.254/24。PC2位于互联网区域,模拟外部互联网,地址段为:10.0.0.0/8,pc2地址为:10.0.0.1/8。3、互联网主机pc2能够访问DMZ区域的服务器,但是不能够进行ping和ssh连接。
Linux防火墙——iptables实战操作
匠人精神,持之以恒!
06-13 1281
iptables原理以及参数介绍可以参考我上篇文章:Linux防火墙——iptables原理介绍 :对应规则匹配到的报文的个数。:对应匹配到的报文包的大小总和。:规则对应的target,往往表示规则对应的"动作",即规则匹配成功后需要采取的措施。:表示规则对应的协议,是否只针对某些协议应用此规则。:表示规则对应的选项。:表示数据包由哪个接口(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。:表示数据包由哪个接口(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。:表示规则对应的
防火墙iptables实战图文详解
Tianzs_的博客
06-04 494
iptables 防火墙实战应用
CentOS 7.6 防火墙iptables详解及实例配置
shengjie87的博客
08-02 5098
.8.1.1 iptables 概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 。 netfilter/iptables关系: netfilter组件也称为内核空间( kernelspace ) , 是内核的一-部分,由- -些信息包过滤表组成, 这些表包含内核用来控制信息包过滤处理的规则集。。 iptables组件是一种工具,也称为用户空间( userspace) ,它使插入、修改和除去信息包过 滤表中的规则变得容易。。 n
iptables 完整入门与实战技巧:Linux 防火墙配置详解
2503_91655817的博客
04-21 1937
iptablesLinux 内核自带的包过滤系统,用于控制进出服务器的数据包。通过配置规则,它可以:拒绝恶意访问限制端口访问防止暴力破解实现简单的 NAT 或转发iptables是一把双刃剑,用得好可以帮你把网络安全控制得非常细致;用得不好也可能导致自己连不上服务器。配置前一定备份当前规则;实验时保留 SSH 端口,避免锁死自己;推荐将规则写成脚本或保存为文件,方便恢复。如果你对iptables更深层的功能(如 NAT、端口转发、限速等)感兴趣,可以告诉我,我可以出一篇。
Linux iptables防火墙详解(四)——配置实战
永远是少年
12-06 1789
本文主要内容是Linux iptables防火墙配置实战。 1、配置场景 2、配置分析 3、配置命令 4、注意事项
linux】Ubuntu上的防火墙iptables的基本配置与使用_ubuntu iptables
2401_84281615的博客
04-18 1644
关于防火墙firewall,从字面上理解,就是防止非法的数据包进入的一道墙,合法的数据从门里进来,不合法的数据被墙挡在外面。缺省规则是给予设置有很大的方便,比如说,你要设置只允许别人访问本机的http服务,那么可以设置INPUT和OUTPUT缺省为DROP,拒绝接收,设置一条从外部通过http访问的规则为ACCEPT即可。-A代表append添加规则,后面带OUTPUT代表这种数据包,-p代表使用的协议为tcp,–dport代表端口为80,-j代表使用DROP还是ACCEPT,DROP为拒绝。
Linux系统管理】Iptables防火墙规则详解:四表五链配置实战案例分析
04-13
使用场景及目标:①掌握iptables防火墙的基本配置与管理;②学会运用iptables进行流量控制和安全策略设置;③能够根据业务需求定制个性化的iptables规则集。; 阅读建议:由于iptables涉及较多的概念和技术细节,建议...
网络攻防实战Linux防火墙iptables配置与应用
实验的主要目的是让学生深入理解和实践防火墙的工作原理,特别是通过iptables这一工具进行包过滤。实验分为两个主要部分:理论学习与实战操作。 首先,实验目标包括分析iptables的工作流程,掌握iptables的基本包...
掌握Linux防火墙Iptables:详解配置实战教程
IptablesLinux内核集成的一种IP包过滤系统,专为2.6.x版本及以上Linux系统设计,它在防火墙配置和路由过滤方面发挥关键作用。Iptables的工作原理是通过用户空间的配置工具(Iptables)来设置和管理IP包过滤规则,...
java UDP 模板
wu_android的博客
06-05 1115
UDP(User Datagram Protocol)是一种无连接的传输层协议,在 Java 中可以使用 UDP 进行网络编程。
APM32芯得 EP.07 | 探索使用以太网(ETH),搭建一个简单的本地HTTP服务器
cheukyau的博客
06-03 703
本文分享基于APM32系列芯片的ETH模块HTTP服务实现方法。文章详细介绍了HTTP协议特点、LWIP1.4.1的轻量级HTTP服务实现,以及嵌入式Web服务器搭建步骤:1)移植LWIP库;2)使用makefsdata工具转换HTML文件;3)编写httpd_cgi_ssi.c实现SSI和CGI功能,包括ADC数据采集和LED控制;4)配置开发板静态IP地址。实验现象展示了通过网页访问开发板IP地址,实现LED控制和ADC数据采集功能。
运输层__
最新发布
王老汉的博客
06-07 756
发送方维持一个叫做拥塞窗口cwnd(congestion window)的状态变量,其大小取决于网络的拥塞程度,且在动态变化,发送方让自己的发送窗口等于或小于拥塞窗口。发送方控制拥塞窗口的原则是:只要网络没有出现拥塞,拥塞窗口就再增大一些,以便把更多的分组发送出去。拥塞控制是一个全局性的过程,涉及到所有的主机,所有的路由器,以及与降低网络传输性能有关的所有因素。服务器:SYN=1,ACK=1,seq=y,ack=x+1(注意大小写)服务器:FIN=1,ACK=1,seq=w,ack=u+1。
Cilium动手实验室: 精通之旅---6.Cilium IPv6 Networking and Observability - Lab
Q先生
06-05 1023
您现在可以在 Kubernetes 中可视化 IPv6 流,并希望您能看到,如果您有合适的工具,在 Kubernetes 上运行 IPv6 并不一定是一场运营噩梦。由于 Pod 被固定到不同的节点,因此它应该显示不同节点上的 Pod 之间的 IPv6 连接成功。验证了使用 ICMPv6 的节点间 IPv6 连接以及通过 HTTP 的 Pod 到服务 IPv6 连接。到目前为止,我们只对 IP 地址进行作。另外个窗口 运行从 pod-worker 到 pod-worker2 的 IPv6 ping。
【计算机网络】第七章 运输层
wuyufei_sun的博客
06-03 845
物理层、数据链路层和网络层,共同解决了将主机通过异构网络互联起来所面临的问题,实现了在计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程如何为运行在提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为端到端协议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值