实验：web防火墙的配置

热爱学习的哈哈哈

已于 2024-03-06 23:59:29 修改

阅读量360

点赞数 10

文章标签：网络安全

于 2024-03-06 23:57:07 首次发布

本文链接：https://blog.csdn.net/a1233241111/article/details/136521039

版权

前提：部署LAMP

参考：Linux - 进阶使用 LAMP 搭建私有云存储（ Nextcloud 搭建）_lamp nextcloud-CSDN博客

第一步：未设置防火墙进行扫描

nmap -sS -O 192.168.31.1

Starting Nmap 6.40 ( http://nmap.org ) at 2024-03-06 22:19 CST
Nmap scan report for 192.168.31.1
Host is up (0.00049s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
111/tcp  open  rpcbind
3306/tcp open  mysql
8088/tcp open  radan-http
MAC Address: 00:0C:29:41:41:7E (VMware)
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.40%E=4%D=3/6%OT=22%CT=1%CU=38359%PV=Y%DS=1%DC=D%G=Y%M=000C29%TM
OS:=65E87B81%P=x86_64-redhat-linux-gnu)SEQ(SP=106%GCD=1%ISR=107%TI=Z%CI=Z%I
OS:I=I%TS=A)SEQ(SP=107%GCD=1%ISR=108%TI=Z%CI=Z%TS=A)OPS(O1=M5B4ST11NW7%O2=M
OS:5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O5=M5B4ST11NW7%O6=M5B4ST11)WIN
OS:(W1=7120%W2=7120%W3=7120%W4=7120%W5=7120%W6=7120)ECN(R=Y%DF=Y%T=40%W=721
OS:0%O=M5B4NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(
OS:R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z
OS:%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y
OS:%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RI
OS:PL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.10 seconds





-sS: 这个参数告诉Nmap使用TCP SYN扫描技术。在TCP SYN扫描中，Nmap发送一个SYN包（同步包）到目标主机并等待回复。如果收到一个SYN/ACK（同步/确认）包，表示端口是打开的；如果收到一个RST（复位）包，表示端口是关闭的。

-O: 这个参数告诉Nmap尝试对目标主机进行操作系统识别。Nmap会分析目标主机的响应和行为来推断它运行的操作系统类型。

综合起来，这个命令的作用是使用TCP SYN扫描技术对IP地址为192.168.31.1的主机进行端口扫描，并尝试识别目标主机的操作系统类型。请注意，在实际使用中，请确保你有权限对目标主机进行扫描，以避免违反网络所有权或者访问规定。

设置防火墙

[root@node1 ~]# iptables -L -n       #查看防火墙规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      
[root@node1 ~]# iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
[root@node1 ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
[root@node1 ~]# iptables -A OUTPUT -p tcp --dport 111 -j ACCEPT
[root@node1 ~]# iptables -A OUTPUT -p tcp --sport 111 -j ACCEPT
[root@node1 ~]# iptables -A OUTPUT -p tcp --dport 8088 -j ACCEPT
[root@node1 ~]# iptables -A OUTPUT -p tcp --sport 8088 -j ACCEPT

[root@node1 ~]# iptables -L -n      #查看防火墙规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8088
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:111
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:8088
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:111

[root@node1 ~]# iptables -P INPUT DROP    # -P INPUT DROP: 这部分命令指示iptables将"INPUT"链（接收数据包到本地进程的链）的默认策略设置为"DROP"。这意味着如果数据包不符合任何其他规则，则默认情况下将被丢弃，即不允许通过。
[root@node1 ~]# iptables -P OUTPUT DROP   # -P OUTPUT DROP: 这部分命令指示iptables将"OUTPUT"链（接收数据包到本地进程的链）的默认策略设置为"DROP"。这意味着如果数据包不符合任何其他规则，则默认情况下将被丢弃，即不允许通过。

# 此时本地已经登不进去服务器
[root@node1 ~]# iptables -A INPUT -i lo -j ACCEPT  # 这个命令使用 iptables 工具向 INPUT 链添加一条规则，该规则的作用是允许所有进入本地回环接口（lo）的数据包。
[root@node1 ~]# iptables -A OUTPUT -o lo -j ACCEPT # 这个命令使用 iptables 工具向 OUTPUT 链添加一条规则，该规则的作用是允许所有从本地回环接口（lo）发出的数据包。

第二步：设置防火墙进行扫描

[root@node2 ~]# nmap -sS -O 192.168.31.1

Starting Nmap 6.40 ( http://nmap.org ) at 2024-03-06 23:42 CST
Nmap scan report for 192.168.31.128
Host is up (0.00050s latency).
Not shown: 997 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
111/tcp  open  rpcbind
8088/tcp open  radan-http
MAC Address: 00:0C:29:41:41:7E (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|storage-misc|specialized|WAP|media device
Running (JUST GUESSING): Linux 2.6.X|3.X (93%), Crestron 2-Series (87%), Netgear embedded (87%), Western Digital embedded (87%), Google Android 4.X (85%), HP embedded (85%)
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 cpe:/o:crestron:2_series cpe:/h:netgear:dg834g cpe:/o:westerndigital:wd_tv cpe:/o:google:android:4 cpe:/h:hp:p2000_g3
Aggressive OS guesses: Linux 2.6.32 - 3.6 (93%), Linux 2.6.32 - 3.9 (92%), Linux 3.0 - 3.9 (92%), Linux 2.6.22 - 2.6.36 (89%), Linux 2.6.39 (89%), Linux 2.6.32 (89%), Linux 3.3 (88%), Crestron XPanel control system (87%), Netgear DG834G WAP or Western Digital WD TV media player (87%), Linux 2.6.32 - 2.6.35 (87%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 44.39 seconds