基于iptables实现nat虚拟机与局域网安全隔离方案

最新推荐文章于 2024-06-27 14:41:54 发布
最新推荐文章于 2024-06-27 14:41:54 发布
阅读量209 收藏
点赞数
分类专栏: 运维 文章标签: 安全 linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelenwait/article/details/134916831
版权

前言

因本地搭建了个Centos服务器,与公网映射作为测试环境。考虑到安全性,采用KVM虚拟化技术在装个Centos虚拟机。以防测试环境不幸沦陷,危及物理主机。因为物理主机所在局域网下也会部署其他机器。故还要保证网络的安全性隔离。所有思索和调研决定采用iptables防火墙强实现。笔者主要思路和步骤记录如下,需要的读者自取。

注意:因iptables的操作要求对路由规则理解程度要高,操作失误可能会导致主机连不上。请结合实际情况谨慎操作,防止踩坑,这也分享此篇文章的初衷所在。笔者也是进行多次尝试和调整。添加规则顺序不能有错,建议执行后先查看规则在往下添加。

主要网络信息如下

本地局域网:192.168.2.0/24
宿主机ip: 192.168.2.209
宿主机与kvm虚拟机nat网络:192.168.122.0/24
宿主机nat ip:192.168.122.1
虚拟机使用nat方式通过宿主机进行转发与外部网络连接。

网络隔绝安全要求

虚拟机使用nat方式借助宿主机192.168.122.1访问网络,但要求禁止虚拟机访问宿主机其他网络。禁止虚拟机访问本地192.168.2.0/24局域网。同时要保证虚拟机可访问互联网。

iptables规则设置

清除初始化规则

清除规则和计数器(首次使用)

sudo iptables -F
sudo iptables -X
sudo iptables -Z

设置转发流量

访问非直连网络都是通过转发流量进行,禁止访问局域网也是通过该部分实现

# 按行号查看
iptables -L FORWARD --line-number

# 拒接所有局域网请求
sudo iptables -A FORWARD -s 192.168.122.0/24 -d 192.168.2.0/24 -j DROP

设置直连流量

禁止直连,本例子使用 32000作为映射端口 故保留

iptables -L INPUT --line-numbers

# 允许本地局域网接入 否则局域网将无法连接机器
sudo iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
# 允许虚拟机网络连接32000端口
sudo iptables -A INPUT -p tcp -s 192.168.122.0/24 --dport 32000 -j ACCEPT
# 拒绝所有虚拟网连接本机网络(前面的除外,第二天条规则匹配到已经允许通过)
sudo iptables -I INPUT -s 192.168.122.0/24 -d 192.168.122.1 -j DROP
# 拒绝所有虚拟机网络直连本地局域网
sudo iptables -A INPUT -s 192.168.122.0/24 -d 192.168.2.0/24 -j DROP

最后到达效果

1.虚拟机网络192.168.122.0/24 无法连接局域网192.168.2.0/24内网络(网关除外192.168.2.1)
2.虚拟机网络192.168.122.0/24 无法连接宿主机网络192.168.122.1(32000除外)
3.虚拟机网络192.168.122.0/24 可以借助192.168.122.1连接外网

最后规则信息

root# iptables -L FORWARD --line-numbers

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
2    DROP       all  --  192.168.122.0/24     192.168.2.0/24

root# iptables -L INPUT --line-numbers

num  target     prot opt source               destination         
1    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
2    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
3    ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
5    ACCEPT     all  --  192.168.2.0/24       anywhere            
6    ACCEPT     tcp  --  192.168.122.0/24     anywhere             tcp dpt:32000
7    DROP       all  --  192.168.122.0/24     localhost.localdomain
8    DROP       all  --  192.168.122.0/24     192.168.2.0/24

保存规则信息

确保连接正常后,需要保存规则,重启后依旧生效

iptables-save > /etc/sysconfig/iptables

## 配置服务重启加载
iptables-restore < /etc/sysconfig/iptables

其他常用命令

# 查看FORWARD 规则
iptables -nvL FORWARD

#删除规则
sudo iptables -D FORWARD -s 192.168.122.0/24 -d 192.168.2.254 -j ACCEPT
# 按行号删除规则
# 规则链的顺序非常重要,会按照规则进行检查,满足就会执行 
iptables -D FORWARD 3

#插入规则
sudo iptables -I FORWARD 3 -s 192.168.122.0/24 -d 192.168.2.254 -j ACCEPT
烽铃子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
如何使用内网穿透连接虚拟主机
ChristineTX的博客
06-16 6394
为什么要用内网穿透 最近做一个服务器项目,尽管使用了docker搭建,我的2c4g的百度云服务器还是吃不消, 起5个服务器,运存只剩不到100m,jenkins构建报错ERROR: Maven JVM terminated unexpectedly with exit code 137 想到家里闲置一台电脑,用它搭虚拟机,在使用内网穿透访问岂不美滋滋! 我知道的内网穿透软件(免费的) 1.Sunn...
linux虚拟机中仅主机模式下桥接网络的四种方法及iptables使用细节!
SYH885的博客
10-26 2590
虚拟机桥接网络 vmware为我们提供了三种网络工作模式,它们分别是:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。 打开vmware虚拟机,我们可以在选项栏的“编辑”下的“虚拟网络编辑器”中看到VMnet0(桥接模式)、VMnet1(仅主机模式)、VMnet8(NAT模式),那么这些都是有什么作用呢?其实,我们现在看到的VMnet0表示的是用于桥接模式下的虚拟交换机;VMnet1表示的是用于仅主机模式下的虚拟交换机;VMnet8表示的是用于NAT模式下的虚拟交换
【实验记录】在centOS上使用iptables编写规则实现本机可以访问虚拟机的ssh,不能访问http
努力敲代码的小盆友
04-28 408
实验过程:首先开启centOS虚拟机的http服务和ssh服务,然后再编写iptables的规则,最后测试规则是否编写正确并成功运行。涉及contOS搭建web服务器,scp命令的使用,以及iptables的规则编写。
KVM虚拟机通过iptables+NAT模式实现远程连接访问
weixin_43802844的博客
01-15 1463
KVM虚拟机通过iptables+NAT模式实现远程连接 前言 由于服务器只有一个公网ip,想要KVM虚拟机可以远程登陆操控,桥接是无法实现这个念想了,所以直接采用iptable+NAT网络的模式来进行操作。 本篇文章继承上一篇文章《Ubuntu配置GPU直传kvm虚拟机》https://blog.csdn.net/weixin_43802844/article/details/112569060 来续写。 KVM网络 上篇文章采用的是桥接模式,这个模式需要给虚拟机一个额外的ip地址,如果是内网的话,
Linuxiptables进行防火墙设置以使得可以访问虚拟机的端口
小C的博客
03-09 2097
有的应用在VMWare虚拟机上运行的,想要在物理机上访问对应的应用端口,如flink的web UI(默认端口8081)、tomcat(默认端口8080)等。 由于linux的防火墙限制,往往无法访问,需要使用 iptables命令设置防火墙规则放开端口访问
linux下设置iptables实现NAT功能
04-14
linux下设置iptables实现NAT功能
Linux下基于iptables的防火墙设计与实现.pdf
09-06
Linux下基于iptables的防火墙设计与实现.pdf
iptablesnat的配置与管理
12-29
iptablesnat的配置与管理,对于iptables的配置与管理都有一定的基础。
Docker与iptables实现bridge方式网络隔离与通信操作
01-08
Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的...
基于iptables的Intranet设计与实现.pdf
06-15
基于iptables的Intranet设计与实现.pdf 基于iptables的Intranet设计与实现.pdf
iptables技术--局域网共享上网及映射
weixin_44736359的博客
07-05 1136
文章目录一. iptables介绍1.iptables是什么2.iptables企业应用场景3.商用防火墙品牌二.iptables工作流程三.iptables四表五链1.表与链对应关系2.FILTER表3.NAT表四.iptables工作原理五.iptables环境准备1.安装iptables管理命令2.加载防火墙的内核模块3.启动防火墙六.iptables基本操作命令七.iptables实战八.iptables企业案例1.部署一个安全的防火墙2.局域网共享上网3.端口映射4.IP映射九.iptables
iptables案例:iptables把内网web服务映射到外网
麦子地的专栏
11-17 4084
iptables把内网web服务映射到外网背景和原理左边为机器A,右边为机器B。B有两块网卡,一块和A在一个局域网,一块可以连外网。A外网不通。 下面希望外网的用户可以访问A机器提供的web服务。 iptables配置机器B开启内核路由转发功能[root@xuegod63 ~]# vim /etc/sysctl.conf #改:#net.ipv4.ip_forward = 0 #为: net.i
利用iptables的SNAT功能实现局域网共享上网
热门推荐
杂货铺的少掌柜
11-22 1万+
今天,碰到一个问题:局域网内有5台机器,只有一个公网IP。现在的需求是5台机器都要能够访问外网。这可怎么办呢?当然是使用SNAT了。话虽这么说,可是,在配置的时候,竟然折腾了半天!下面好好总结一下:情景介绍:局域网内的5台机器的IP地址分别是 192.168.180.121-node1 192.168.180.122-node2 192.168.180.123-node3 192.168.
20151208linux系统日常管理第三部分(linux下使用iptables实现内网的ftp端口映射 )扩展3
niejicai的博客
12-12 2435
有两台机器,其中一台A 有内网和外网,B机器只有内网。 想达到的目的: 通过A机器的外网去访问B机器的ftp(21) 环境:  A机器外网IP为  123.234.12.22(eth1)  内网IP为 192.168.10.20 (eth0) B机器内网为 192.168.10.21 实现方法: 1.  让你的linux支持ftp的端口转发 modprobe ip_nat_f
iptables 实现centos内网机器访问外网
漫长技术之路始于此
04-26 3486
摘要: 环境:一台带外网和内网的机器,另一台只有内网,默认不能上网。两台机器都是centos系统带外网机器的外网ip为123.221.20.11,内网ip为192.168.15.100内网机器的内网ip为192.168.15.101设置方法很简单:1.在带外网的机器上设置iptables规则:iptables-tnat-APOSTROUTING-s192.168.15.101-jSNAT–to123
iptables 实现NAT功能(利用iptables实现局域网共享上网)
kozazyh的专栏
01-19 4435
  内网:eth0 192.168.1.102外网:eth1ADsL ppp0配置内核:Networking  --->                      Networking options  --->                          [*] Network packet filtering framework (Netfilter)  --
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 220
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
WEB攻防【5】——JS项目/Node.js框架安全/识别审计/验证绕过
最新发布
weixin_42090431的博客
06-27 322
JS开发的WEB应用和PHP、java.NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。网站检查网络下面加载了哪些js文件、以及js文件里面有没有嵌套别的js文件。一般有/static/js/app.j8 等顺序的js文件。2、开发框架-Vulhub-Node.JS安全。3、真实应用-APP应用直接重置密码。4、真实应用-违法彩彩文件上传安全。1、原生JS&开发框架-安全条件。4、如何获取更多的Js文件?2、流行的Js框架有那些?3、如何判定Js开发应用?5、如何快速获取价值代码?
iptables实现局域网隔离
06-22
iptables 是一个在 Linux 内核中用于网络包过滤和防火墙管理的工具,它可以用来实现局域网内的安全隔离,控制进出网络的数据流。以下是使用 iptables 实现局域网隔离的基本步骤: 1. **了解基本概念**: - 链(Chains):iptables 有多个操作链,如 INPUT、OUTPUT、FORWARD 和 PREROUTING 等,用于处理数据包的不同阶段。 - 规则(Rules):在每条链中,你可以定义一系列规则,指定数据包的源地址、目标地址、协议类型等条件。 2. **配置基本规则**: - **阻止外部访问内部网络**:在 INPUT 链上设置规则,拒绝来自外部网络的数据包进入内部网络。 - **限制内部通信**:只允许特定内部 IP 或子网之间的通信,可以通过源和目的地址来实现。 3. **设置端口过滤**: - 如果只想隔离特定服务,可以在 OUTPUT 链上添加规则,只允许特定的服务端口进行通信。 4. **设置路由策略**: - 如果有多个子网或虚拟机,可能需要在 FORWARD 链上配置规则,根据路由信息决定数据包如何转发。 5. **应用和持久化**: - 使用 `iptables -A` 添加规则,`iptables -P` 设置默认策略,`iptables -F` 清空规则。 - 要使设置永久生效,需要将规则写入 /etc/sysconfig/iptables 或者在开机时自动加载到 /etc/network/interfaces 或 /etc/iptables.ipv4.nat

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值