Linux系统iptables内外网安全策略。

最新推荐文章于 2025-06-09 14:30:03 发布
最新推荐文章于 2025-06-09 14:30:03 发布
阅读量342 收藏 1
点赞数 10
文章标签: linux 运维 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ALLLEX89/article/details/148434409
版权
规划

  • 内部PC1位于内网区域,地址段为: 192.168.1.0/24,pc1地址为:192.168.1.1/24,网关地址为:192.168.1.254/24

  • 服务器S1位于服务器区域,地址段为: 192.168.2.0/24,pc1地址为:192.168.2.1/24,网关地址为:192.168.2.254/24

  • PC2位于互联网区域,模拟外部互联网,地址段为:10.0.0.0/8,pc2地址为:10.0.0.1/8

  • Linux防火墙的三块网卡为别连接不同的网络区域,地址分别为 :ens160 192.168.1.254/24;ens224 10.0.0.100/8;ens35 192.168.2.254/24

目的

  • 内部网络中的pc1采用SNAT访问外部互联网,但是无法ping到内部网关。

  • 内部网络服务器s1通过DNAT发布服务到互联网。

  • 互联网主机pc2能够访问DMZ区域的服务器,但是不能够进行ping和ssh连接。目的

步骤

1. 虚拟机中创建4台Rocky8的主机,分别对应:内网机、外网机、带路由功能的防火墙及服务器

2.配置网卡配置

2.1配置内网机网卡配置

[root@localhost network-scripts]# vim ifcfg-ens160
[root@localhost network-scripts]# cat ifcfg-ens160
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.1.1
PREFIX=24
GATEWAY=192.168.1.254
[root@localhost network-scripts]# systemctl restart network
[root@localhost network-scripts]# ifconfig -a
ens160: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        ether 00:0c:29:ff:37:36  txqueuelen 1000  (Ethernet)
        RX packets 89  bytes 22544 (22.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

2.2配置外网机网卡配置

[root@localhost network-scripts]# vim ifcfg-ens160
[root@localhost network-scripts]# cat ifcfg-ens160
TYPE=Ethernet
BOOTPROTO=dhcp
NAME=ens160
UUID=f80b8365-bd9d-41fd-93f5-d3e21887de09
DEVICE=ens160
ONBOOT=yes
IPADDR=10.0.0.1
PREFIX=8
GATEWAY=10.0.0.100
[root@localhost network-scripts]# systemctl restart network
[root@localhost network-scripts]# ifconfig -a
ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:4b:68:1d brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    inet 10.0.0.1/8 brd 10.255.255.255 scope global noprefixroute ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe4b:681d/64 scope link 
       valid_lft forever preferred_lft forever

2.3防火墙网卡设置

root@localhost network-scripts]# ip a

2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:69:1f:de brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    inet 192.168.1.254/24 brd 192.168.1.255 scope global noprefixroute ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe69:1fde/64 scope link 
       valid_lft forever preferred_lft forever
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:69:1f:e8 brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    inet 192.168.2.254/24 brd 192.168.2.255 scope global noprefixroute ens224
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe69:1fe8/64 scope link 
       valid_lft forever preferred_lft forever
4: ens256: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:69:1f:f2 brd ff:ff:ff:ff:ff:ff
    altname enp27s0
    inet 10.0.0.100/8 brd 10.255.255.255 scope global noprefixroute ens256
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe69:1ff2/64 scope link 
       valid_lft forever preferred_lft forever

2.4服务器网卡设置

[root@localhost network-scripts]# cat ifcfg-ens160
TYPE=Ethernet
BOOTPROTO=dhcp
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.2.1
PEFIX=24
GATEWAY=192.168.2.254

3.局域网设置

4.防火墙设置

关闭防火墙及selinux

[root@localhost network-scripts]# systemctl disable --now firewalld
[root@localhost network-scripts]# setenforce 0

打开路由功能

[root@localhost network-scripts]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost network-scripts]# sysctl -p
net.ipv4.ip_forward = 1

网络连接测试

内网连接

[root@localhost network-scripts]# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.032 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=3.45 ms
^C
--- 192.168.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1041ms
rtt min/avg/max/mdev = 0.032/1.739/3.446/1.707 ms
[root@localhost network-scripts]# ping 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=1.51 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.751 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.913 ms
^C
--- 192.168.1.254 ping statistics ---

外网连接

[root@localhost network-scripts]# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.520 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.087 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.067 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.065 ms
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3065ms
rtt min/avg/max/mdev = 0.065/0.184/0.520/0.194 ms

服务器连接测试

[root@localhost network-scripts]# ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=0.288 ms
64 bytes from 192.168.2.1: icmp_seq=2 ttl=64 time=0.090 ms
^C
--- 192.168.2.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1019ms
rtt min/avg/max/mdev = 0.090/0.189/0.288/0.099 ms
[root@localhost network-scripts]# ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=1.18 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=0.903 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=0.933 ms
^C
--- 192.168.2.254 ping statistics ---

iptables配置及测试

[root@localhost network-scripts]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.100
[root@localhost network-scripts]# iptables -A INPUT -s 192.168.1.1 -p icmp --icmp-type echo-request -j DROP


[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens256 -j MASQUERADE

ALLLEX89
关注
Linux系统安全技术 防火墙iptables
mikechen1的博客
02-01 1144
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。iptables位于/sbin/iptables用来管理防火墙规则的工具称为Linux防火墙的“用户态”它使插入、修改和删除数据包过滤表中的规则变得容易netfilter/iptables后期简称为iptables
Linux-iptables安全加固
qq_45358744的博客
03-26 796
iptables安全加固 主机型 用户态,在/sbin/iptables存在(user iptables)的防火墙,是用户看得见能操作的。 linux-iptables主机型防火墙工作在2,3,4层,对TCP/IP数据包进行过滤和限制。属于包过滤型防火墙。(除非编译内核才可以使iptables支持7层) 缺点 1.无法过滤内部网络的数据包。因此若有人从内部网络攻击时,防火墙没有作用。 2.电脑本身的操作系统亦可能因一些系统漏洞,使入侵者可以利用这些漏洞绕过防火墙过滤,从而入侵电脑。 3.防火墙无法有
Linux安全技术与iptables防火墙
m0_75067030的博客
02-06 1253
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包从CentOS 7 版开始引入了新的前端管理工具软件包:firewalld管理工具:firewall-cmd 命令行工具firewall-config 图形工作此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表,然后由长期的。
Linux系统安全:安全技术和防火墙
云计算之路
02-07 4067
本文讲解Linux系统安全中的安全技术和防火墙,讲解了iptables的五表五链,iptables使用格式以及各个选项控制类型,扩展模块的使用,详细讲解了如何永久保存iptables规则、如何使用自定义规则链。
Linux系统iptables
qq_27349729的博客
11-29 959
防火墙:就是在Linux下用来进行访问控制功能的。通过自定义防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测、过滤。iptables是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。三种报文流向:流入本机:PREROUTING --> INPUT-->用户空间进程流出本机:用户空间进程 -->OUTPUT--> POSTROUTING。
[Linux] linux防火墙(iptables)
热心网友
11-29 1374
防火墙(FireWall):隔离功能,工作在网络或主机的边缘,数据包的匹配规则与由一组功能定义的操作组件处理的规则相匹配,根据特定规则检查网络或主机的入口和出口 当要这样做时,基本上默认情况下执行的是关闭所有通过访问类型的访问,只开放允许访问的策略,外网访问的主机希望位于网络中的 DMZ(非军事区)。另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen。
Linux防火墙使用(firewalld与iptables
2501_90634316的博客
02-20 1777
iptables和firewalld的使用与配置
linux安全技术与iptables防火墙
dinzhen_zhenzhu的博客
05-29 1085
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包从CentOS 7 版开始引入了新的前端管理工具软件包:firewalld管理工具:firewall-cmd 命令行工具firewall-config 图形工作netfilter/iptables后期简称为iptablesiptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。
linuxiptables基础
MCB134的博客
02-02 880
入侵检测系统:以提供报警和事后监督为主,不采取措施入侵防御系统 :透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)
linux系统防火墙追加篇——iptables
weixin_42446031的博客
03-29 451
在前面我们已经学习过了系统的防火墙,我们讲过redhat7以上的防火墙软件有两个,分别是firewalld和iptables,上一片我们讲的是firewalld,具体可见firewalld,那么今天我们来了解一下另一个防火墙软件iptables iptablesIPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN...
基于Linux的校园网流量计费系统.pdf
09-06
1. 双出口网关设计:为了解决内外网流量的区分和计费,系统采用双出口策略,分别收集国内和国外流量数据。 2. 用户身份认证流程:通过有效的身份验证机制,确保只有合法用户才能接入网络,防止IP盗用。 3. 流量...
Linux系统安全之iptables防火墙
weixin_58376680的博客
02-19 1806
Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,也因此获得广泛的应用。netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。规则表的作用:容纳各种规则链;表的划分依据:防火墙规则的作用相似。
从零开始打造 OpenSTLinux 6.6 Yocto 系统(基于STM32CubeMX)(十二)
小柯的博客
06-08 255
本文介绍了YT8511网络驱动在Linux内核中的修改方法。针对使用ST官方YT8511驱动时出现的根文件系统网络问题,需要替换两个关键文件:将motorcomm.c替换到drivers/net/phy/目录,motorcomm_phy.h替换到include/linux/目录。文档详细提供了内核重新编译的完整命令流程,包括配置合并、镜像生成、模块安装和设备树复制等步骤。最后给出了通过NFS启动的bootargs环境变量设置示例,并附带了操作过程截图。该解决方案可确保系统正常使用nfsroot启动网络功能。
Linux 中替换文件中的某个字符串
刘皇叔说Java的博客
06-06 617
或其他特殊字符,可以改用。如果你想在 Linux 中。:仅在第 5 行替换。
操作系统中的设备管理,Linux下的I/O
m0_74985290的博客
06-05 1218
其中,设备独立性软件、设备驱动程序、中断处理程序属于操作系统的内核部分,即“I/O 系统”,或称“I/O 核心子系统”。
Linux——进程控制
最新发布
2302_79306764的博客
06-09 763
用fork创建子进程后执行的是和父进程相同的程序(但有可能执行不同的代码分支),子进程往往要调用一种exec函数以执行另一个程序。另外,进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力,因为谁也没有办法。一个父进程希望复制自己,使父子进程同时执行不同的代码段。之前讲过,子进程退出,父进程如果不管不顾,就可能造成‘僵尸进程’的问题,进而造成内存泄漏。最后,父进程派给子进程的任务完成的如何,我们需要知道。父进程通过进程等待的方式,回收子进程资源,获取子进程退出信息。
Linux nano命令的基本使用
菜鸟记录
06-08 852
Linux nano命令的基本使用
linux 故障处置通用流程-36计-14-27
bcxwz669的博客
06-05 1278
使用ethtool命令,查看网卡配置是否正常,主要关注网卡连接模式(10/100/1000baseT)及工作模式(Half/Full)。配置文件:检查/etc/passwd,/etc/hosts,/etc/services等配置文件是否正常;#tail -2000 /var/log/messages 查看日志信息。查看日志:tail -f /var/log/messages;查看日志:tail -f /var/log/messages。查看日志:tail -f /var/log/messages。
Linux【3】-----系统框架概述
m0_46451722的博客
06-07 395
linux一定需要挂载操作系统一切皆文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值