Debian 10 iptables (防火墙)配置

已于 2022-08-01 16:43:36 修改
阅读量6.9k 收藏 28
点赞数 7
分类专栏: 网络系统管理--Debian模块 文章标签: debian linux 服务器
于 2022-07-28 03:38:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TXuing/article/details/126021163
版权

目录

一、题目要求

二、 配置过程 

IspSrv

RouterSrv

 AppSrv

StorageSrv

三 、测试截图与评分要点

测试:IspSrv

评分要点:

测试:RouterSrv

 评分细则:

测试:RouterSrv

 评分细则:

 四、扩展内容

一、题目要求

IPTABLES (IspSrv)

  • 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;
  • 放行 ICMP 流量;

IPTABLES  (RouterSrv)

  • 添加必要的网络地址转换规则,使内部客户端能够访问外部网络;
  • 添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务;
  • 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;

IPTABLES (AppSrv)

  • 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;
  • 放行 ICMP 流量;

IPTABLES (StorageSrv)

  • 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;
  • 放行 ICMP 流量;

二、 配置过程 

IspSrv

1.下载iptables防火墙服务

root@ispsrv:~# apt -y install iptables-persistent

2.修改 INPUT 和 FORWARD 链默认规则为DROP

root@ispsrv:~# iptables -P INPUT DROP            #INPUT链拒绝所有流量进入
root@ispsrv:~# iptables -P FORWARD DROP          #FORWARD链拒绝所有流量转发
root@ispsrv:~# netfilter-persistent save         #保存进配置文件

3.放行icmp流量

root@ispsrv:~# iptables -A INPUT -p icmp -j ACCEPT         #放行进站的icmp流量
root@ispsrv:~# iptables -A OUTPUT -p icmp -j ACCEPT        #放行出站的icmp流量
root@ispsrv:~# netfilter-persistent save                   #将规则保存进配置文件

   添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;(在后面题目中会慢慢完善)

RouterSrv

 1.下载iptables防火墙服务

root@routersrv:~# apt -y install iptables-persistent

2.修改 INPUT 和 FORWARD 链默认规则为DROP

root@routersrv:~# iptables -P INPUT DROP            #INPUT链拒绝所有流量进入
root@routersrv:~# iptables -P FORWARD DROP          #FORWARD链拒绝所有流量转发

3.添加必要的网络地址转换规则,使内部客户端能够访问外部网络;

root@routersrv:~# iptables -t nat  -A POSTROUTING -s 192.168.0.0/24 -o ens38 -j MASQUERADE     
root@routersrv:~# iptables -t nat  -A POSTROUTING -s 192.168.100.0/24 -o ens38 -j MASQUERADE     
# -s 表示哪些网段需要nat转换,-o 表示用那个网卡出去外网。

4.放行转发的icmp流量

root@routersrv:~# iptables -A FORWARD -p icmp -j ACCEPT 
root@routersrv:~# iptables -A INPUT -p icmp -j ACCEPT

5.保存规则到配置文件

root@routersrv:~# netfilter-persistent save                   #将规则保存进配置文件

添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务; 与在确保安全的前提下,最小限度放行流量通信;(随着后面题目的完成逐步完善)

 AppSrv

1.下载iptables防火墙服务

root@appsrv:~# apt -y install iptables-persistent

2.修改 INPUT 和 FORWARD 链默认规则为DROP

root@appsrv:~# iptables -P INPUT DROP            #INPUT链拒绝所有流量进入
root@appsrv:~# iptables -P FORWARD DROP          #FORWARD链拒绝所有流量转发
root@appsrv:~# netfilter-persistent save         #保存进配置文件

3.放行icmp流量

root@ispsrv:~# iptables -A INPUT -p icmp -j ACCEPT         #放行进站的icmp流量
root@ispsrv:~# iptables -A OUTPUT -p icmp -j ACCEPT        #放行出站的icmp流量
root@ispsrv:~# netfilter-persistent save                             #将规则保存进配置文件

   添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;(在后面题目中会慢慢完善)

StorageSrv

1.下载iptables防火墙服务

root@storagesrv:~# apt -y install iptables-persistent

2.修改 INPUT 和 FORWARD 链默认规则为DROP

root@storagesrv:~# iptables -P INPUT DROP            #INPUT链拒绝所有流量进入
root@storagesrv:~# iptables -P FORWARD DROP          #FORWARD链拒绝所有流量转发
root@storagesrv:~# netfilter-persistent save         #保存进配置文件

3.放行icmp流量

root@storagesrv:~# iptables -A INPUT -p icmp -j ACCEPT         #放行进站的icmp流量
root@storagesrv:~# iptables -A OUTPUT -p icmp -j ACCEPT        #放行出站的icmp流量
root@storagesrv:~# netfilter-persistent save                   #将规则保存进配置文件

   添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;(在后面题目中会慢慢完善)

三 、测试截图与评分要点

测试:IspSrv

评分要点:

测试:RouterSrv

 评分细则:

                                        (后面测试相同就不一一展示了) 

测试:RouterSrv

 评分细则:

 四、扩展内容

删除规则

iptables -D FORWARD(INPUT/OUTPUT) 1

iptables -t nat -D POSTROUTING (INPUT/PREROUTING) 2

允许icmp通过

iptables -A INPUT -p icmp -j ACCEPT        #放行所有IP的入站icmp流量

iptables -A OUTPUT -p icmp -j ACCEPT       #放行所有IP的入站icmp流量

iptables -A FORWARD -p icmp -j ACCEPT      #如果是作为网关路由器要放开转发的icmp流量

NAT转换规则

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens38 -j MASQUERADE        # -s 表示哪些网段需要nat转换,-o 表示用那个网卡出去外网。

允许DNS解析(自己访问外网DNS服务器)

iptables -A INPUT -p udp --sport 53 -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

允许别人访问本身的DNS(自己是DNS服务器)

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

网关防火墙上(流量都是从你这台服务器上出去)

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWAD -p udp --sport 53 -j ACCEPT

 

将dns 53 端口映射到100的服务器上(网关服务器)

iptables -t nat -A PREROUTING  -d 81.6.63.254 -p tcp --dport 53 -j DNAT --to-destination 192.168.100.100

#将去往81.6.63.254 目的是tcp的53端口映射到192.168.100.100的tcp的53端口

iptables -t nat -A PREROUTING -d 81.6.63.254 -p udp --dport 53 -j DNAT --to-destination 192.168.100.100 

#将去往81.6.63.254 目的是udp的53端口映射到192.168.100.100的udp的53端口

允许dhcp发放地址(dhcp服务器)

iptables -A INPUT -p udp --dport 67 -j ACCEPT #客户端从68号端口发 服务端从67端口收

允许来着客户端同步ntp服务器(服务器)

iptables -A INPUT -p udp --dport 123 -j ACCEPT

iptables -A INPUT -p udp --sport 123 -j ACCEPT

允许同步ntp服务器(客户端)

iptables -A INPUT -p udp --sport 123 -j ACCEPT

iptables -A OUTPUT -p upd --dport 123 -j ACCEPT

路由防火墙

iptables -A FORWAD -p udp --dport 123 -j ACCEPT

服务器访网页允许被访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

客户端访问网页

iptables -A INPUT -p tcp --sport 80 -j ACCEPT

iptables -A OOUTPUT -p tcp --dport 80 -j ACCEPT

路由器防火墙写入

iptables -A FORWAD -p tcp --dport 80 -j ACCEPT

iptables -A FORWAD -p tcp --sport 80 -j ACCEPT

允许从dns服务器向主服务器同步dns

iptables -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

允许主dns服务器给从服务器同步dns

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT

允许主从dns同步(网关服务器)

iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -A FORWAD -p tcp --sport 53 -j ACCEPT

允许ssh登录

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

iptables -A INTPUT -p tcp --dport 22 -j ACCEPT

活加梦
关注
专栏目录
Debian配置IPTABLES-RouterSrv
新时代先锋的博客
03-28 7768
综上所述,iptables服务是一个非常重要的网络安全工具,它可以控制网络流量,实现网络安全策略,监控网络流量,灵活配置,支持多种协议。2.实现网络安全策略:iptables可以实现网络安全策略,例如防火墙、端口转发、网络地址转换(NAT)等,保护Linux系统免受网络攻击和威胁。iptablesLinux系统中的一个网络包过滤工具,它的作用是控制网络流量,实现网络安全策略,以保护Linux系统免受网络攻击和威胁。4.灵活配置iptables可以通过灵活的规则配置进行配置,以满足不同的网络安全需求。
Debian 10 防火墙配置案例
cqtecher的博客
03-20 1186
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、前提条件二、配置步骤1.查看iptables规则2.制定规则 前言 iptables简介netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙 官方网址:https://www.netfilter.org/projects/iptables/index.html 提示:以下是本篇文章正文内容,下面案例可供参考 一、前提条件 开启路由转发功能 echo 1 > /proc.
Debian安装配置Iptables防火墙
07-09 2034
服务器通常会安装防火墙,Debian上有很防火墙,Iptables为比较常用的免费防火墙,Iptables能够提供数据包过滤,网络地址转换(NAT)等功能.在Debian上手工配置Iptables的资料比较少,本文做一个详细的介绍. 第一步,首先确定你的系统已经安装Iptables....
iptables基本命令
最新发布
weixin_45281254的博客
07-22 822
链是规则的集合,用于确定数据包在系统中的处理路径。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn。规则是定义在链中的指令,用于决定数据包的处理方式。注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。链名用于确定规则所属的链(数据包在系统中的处理路径,如 INPUT、OUTPUT 和 FORWARD);:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG):指定数据包的协议类型,如 TCP、UDP、ICMP 等。
debian配置防火墙iptables
weixin_34224941的博客
09-22 3057
2019独角兽企业重金招聘Python工程师标准>>> ...
Debian Iptables防火墙配置
diyu5232的博客
01-26 788
iptables很强大,这只是介绍我小小的fllow debian wiki 然后简单的设置了下iptables,以后再根据需求具体设置 首先 (查看当前iptables配置,我装的debian默认安装了) sudo iptables -L 如果没配置过的话,输出是(什么作用都没起到) Chain INPUT (policy ACCEPT) targe...
ansible-role-firewall:Ansible角色-iptables防火墙配置
01-31
ansible-role-firewall:Ansible角色-iptables防火墙配置
iptables防火墙的基本应用规则配置
weixin_44837958的博客
02-03 994
为了服务器的安全,建议大家安装启用防火墙设置,这里推荐使用iptables防火墙。第一步、查看系统是否安装iptables打开SSH终端,输入whereis iptables如果能看到如下类似信息,说明你已经安装iptables如果不是这个提示,或者没有任何提示,那你的系统上可能没有安装iptables第二步、安装iptables防火墙如果没有安装iptables需要先安装,CentOS执行:Debian/Ubuntu执行:第三步、清除已有iptables规则第四步、开放指定的端口。
『运维备忘录』之 iptables 防火墙使用指南
2401_83620690的博客
04-28 961
--sport num | 匹配来源端口号 |
Debian iptables
tg5156的专栏
01-25 1133
保存iptables防火墙规则 # iptables-save > /etc/iptables.up.rules # vi /etc/network/if-pre-up.d/iptables  #!/bin/bash  /sbin/iptables-restore #chmod +x /etc/network/if-pre-up.d/iptables Debian在网络建立前后和网络
debian-firewall:DebianUbuntu安全防火墙
04-04
Debian防火墙 由Jioh L. Jung( )创建。 保留所有权利。 Debian / Ubuntu安全防火墙(实时/实时) 基本上,该服务器作为代理服务器运行,但是.deb文件被重定向到原始服务器。 (以最小化流量和下载速度。或缓存。) 经过测试的Ubuntu 20.04 / Debian 10 要求 安全数据库取决于 ) 用法 的Ubuntu的20.04 BASE_URL="http://10.1.2.3:8888" cat > /etc/apt/sources.list<<EOF deb ${BASE_URL}/ubuntu/ focal main restricted deb ${BASE_URL}/ubuntu/ focal-updates main restricted deb ${BASE_URL}/ubuntu/ focal universe deb ${B
linuxDebian防火墙
数字人生
01-23 4712
Debian系统默认防火墙,但用户可以根据需要自行选择并安装一个防火墙以增强系统安全性。
Debian配置Iptables-除RouterSrv其他服务器
新时代先锋的博客
03-28 7716
请注意,所有服务器过滤规则请一定最后时间做,否则影响其他服务正常使用。
Debian上面开放防火墙端口
热门推荐
Leo_GetBetter的博客
07-31 1万+
1.sudo命令的安装2.查看防火墙ufw命令的安装3.查看防火墙状态4.允许SSH连接将防火墙设置为接受SSH连接如果SSH服务器正在侦听默认端口22以外的端口,则需要打开该端口。5.启用ufw再输入y确定防火墙就激活了## 6.配开放端口### 开放指定端口### 开放区域端口### 允许指定ip指定端口### 允许子网允许从IP地址的子网进行连接的命令与使用单个IP地址时的命令相同。唯一的区别是您需要指定网络掩码。### 允许连接到特定的网络接口。
Debian防火墙设置
铁柱admin的博客
01-09 1204
设置完就已经放行了指定的端口,但重启后会失效,下面设置持续生效规则。Debian防火墙设置 - Atrixin - 博客园。安装 iptables-persistent。iptables放行所有端口。例如要放行8888端口。
Debian/Ubuntu系统中安装配置UFW-简单的防火墙
weixin_34413357的博客
05-02 342
自从计算机互连后,各种服务迅速发展。用户使用的电子邮件、社交媒体、在线商城、即时聊天甚至网络会议等服务如雨后春笋般涌现。但从另一方面来说,这些连接服务也具有双刃剑,比如它们当中的病毒、恶意软件、特洛伊木马等会向计算机发送恶意消息。 安装 UFW 防火墙 作为最大的计算机网络,互联网上可并不都是善意的用户。因此,为了确保我们的计算机或服务器安全,我们需要...
Debian (Linux)安装UFW防火墙
weixin_45612363的博客
05-10 6716
Debian (Linux)安装UFW防火墙 1ufw简介 UFW,即简单防火墙,是iptables的接口,旨在简化防火墙配置过程。 尽管iptables是可靠且灵活的工具,但对于初学者而言,可能很难学习如何使用它来正确配置防火墙。 如果您希望开始保护网络安全并且不确定使用哪种工具,UFW可能是您的正确选择。 2先决条件 要遵循本教程,您将需要一台具有sudo非root用户的Debian 10服务器。 2.1设置非root用户获得root权限 1修改 /etc/sudoers文件权限 执行以下操作 sud
Debian 系统如何配置 iptables
qq_40286424的博客
09-06 2014
iptablesLinux发行版本如Centos、Debian、Ubuntu、Redhat等的配置内容基本一致,但是配置方式有所不同。由于工作日常用的是Centos 6.x,它的配置较简单。下面对Debian配置iptables做一个说明。 root@localhost:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt...
debian查询防火墙
07-29
您可以使用以下命令来查询Debian中的防火墙状态: 1. 查询防火墙状态:`sudo ufw status` 这将显示UFW(Uncomplicated Firewall)防火墙的状态,包括启用或禁用,以及开放的端口和允许的连接。 另外,您还可以使用以下命令来查询Iptables防火墙的规则: 1. 查询Iptables规则:`sudo iptables -L` 这将显示当前的Iptables防火墙规则,包括输入、输出和转发规则。 请注意,在Debian系统中,默认情况下是没有预先配置防火墙规则的,您需要手动设置和配置防火墙
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

活加梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值