iptables与firewalld实例

最新推荐文章于 2022-06-19 09:38:48 发布
最新推荐文章于 2022-06-19 09:38:48 发布
阅读量229 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_s_k/article/details/105440671
版权

iptables:

1.INPUT和OUTPUT默认策略为DROP;

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP

2.限制本地主机的web服务器在周二、周五不允许访问;新请求的速率不能超过150个每秒;web服务器包含了demo字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

# iptables -I INPUT 1 -d 192.168.174.128 -p tcp --dport 80 -m limit --limit 150/second -m time --weekdays Tue,Fri -j REJECT
# iptables -I OUTPUT 1 -d 192.168.174.128 -p tcp --dport 80 -m string --string "demo" --algo kmp -j REJECT
# iptables -I OUTPUT 2 -m state --state RELATED,ESTABLISHED -j ACCEPT

3.在工作时间,即周一到周五的8:30-18:00,开放本机的samba服务共享的目录给192.168.100.20网络中的主机访问;数据访问次数每分钟不得超过20个;

 # iptables -I INPUT 1 -s 192.168.100.20 -p tcp --dport 137 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
# iptables -I INPUT 2 -s 192.168.100.20 -p tcp --dport 137-m connlimit --connlimit-above 20 -j REJECT

4.开放本机的ssh服务给192.168.100.9-192.168.100.155中的主机,新请求建立的速率一分钟不得超过3个;仅允许响应报文通过其服务端口离开本机;

#iptables -I INPUT 1 -p tcp --dport 22 -m iprange --src-range 192.168.100.9-192.168.100.155 -j ACCEPT
#iptables -I INPUT 2  -p tcp --dport 22 -m limit --limit 3/minute -j REJECT
#iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

5.定制源地址访问策略:1)接收来自192.168.100.30的IP访问;2)拒绝来自192.168.200.0/24网段的访问

# iptables -A INPUT -i ens33 -s 192.168.100.30 -j ACCEPT
# iptables -A INPUT -i ens33 -s 192.168.200.0/24 -j DROP

6.目标地址192.168.100.20的访问给予记录,并查看/var/log/message

# iptables -A INPUT -s 192.168.100.20 -j LOG
# tail -f /var/log/message

7.定制端口访问策略:1)拒绝任何地址访问本机的8081端口;2)拒绝192.168.200.0/24网段的1024-65534的源端口访问SSH

# iptables -A INPUT -i ens33 -p tcp --dport 8081 -j DROP
# iptables -A INPUT -i ens33 -p tcp -s 192.168.200.0/24 --sport 1024:65534 --dport ssh -j DROP

8.定制防火墙的MAC地址访问策略:1)清除所以已经存的规则;2)将INPUT设为DROP;3)将目标计算机192.168.100.30的MAC设为ACCEPT

# iptables -F
# iptables -X
# iptables -Z
# iptables -P INPUT DROP
# iptables -A INPUT -i ens33 -m MAC –mac-source 00:0C:29:D0:1B:1E -j ACCEPT

9.定制防火墙的NAT访问策略:1)清除所有NAT策略;2)重置ip_forward为1;3)通过SNAT设定来源于192.168.100.20网段通过ens33转发出去;4)用iptables观察转发的数据包。

# iptables -F
# iptables -X
# iptables -Z
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o ens33 -j SNAT –to-source 192.168.100.20 
# iptables -L -nv

10.端口转发访问策略:1)清除所有NAT策略;2)重置ip_forward为1;3)通过DNAT设定为所有访问192.168.100.30的22端口,都访问到192.168.100.20的22端口;4)设定所有到192.168.100.20的22端口的数据包都通过FORWARD转发;5)设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常。

# iptables -F -t nat
# iptables -X -t nat
# iptables -Z -t nat
# echo 1 >/proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -d 192.168.100.30 -p tcp --dport 22 -j DNAT –to-destination 192.168.100.20:22
# iptables -A FORWARD -p tcp -d 192.168.100.20 --dport 22 -j ACCEPT
# iptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE

Firewalld:

1.配置防火墙规则允许192.168.100.0/24 网段的用户对controller和compute进行ssh访问;禁止192.168.200.0/24 网段的用户对controller和compute进行ssh访问.

在controller节点和compute节点上都执行以下命令

# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.100.0/24" port protocol="tcp" port="22" accept"
# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.0/24" port protocol="tcp" port="22" reject"

2.配置端口转发在controller和compute配置端口转发,要求:在192.168.200.0/24网段中的主机,访问server的本地端口5321将被转发到80端口此设置必须永久有效、设置开机启动防火墙.
在controller:

# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 forward-port port=5321 protocol=tcp to-port=80 to-addr=192.168.174.128' --permanent
# firewall-cmd --reload
# systemctl enable firewalld

在compute:

# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 forward-port port=5321 protocol=tcp to-port=80 to-addr=192.168.174.129' --permanent
# firewall-cmd --reload
# systemctl enable firewalld

3.开启80端口,查看80端口状态;

# firewall-cmd --add-port=80/tcp 
# firewall-cmd --list-port

4.允许来自主机 192.168.100.20 的80 端口的 IPv4 的 TCP 流量,并将流量转发到 6532 端口上;

# firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=192.168.100.20 forward-port port=80 protocol=tcp to-port=6532'

5.每分钟允许2个新连接访问ftp服务;

# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

6.修改默认区域为home,并添加接口ens33到当前默认区域下,查询出结果;

# firewall-cmd --set-default-zone=home
# firewall-cmd --zone=home --add-interface=ens33

7.放开ssh服务,并限制只有192.168.100.30可以访问3306端口;

# firewall-cmd --zone=public --add-service=ssh
# firewall-cmd --add-rich-rule=’rule family=ipv4 source address=192.168.100.30 port protocol="tcp" port="3306" accept’

8.增加666端口到public域上,并查询结果;

# firewall-cmd --zone=public --add-port=666/tcp
# firewall-cmd --list-port

9.将tcp协议1000-8888端口,添加到home区域下;并添加192.168.100.0/24网段到home区域;

# firewall-cmd --zone=home --add-port=1000-8888/tcp
# firewall-cmd --zone=home --add-source=192.168.100.0/24

10.修改home区域绑定的网卡接口,将它绑定到internal区域,并查询接口所在区域结果;

# firewall-cmd --zone=internal --change-interface=ens33
# firewall-cmd --get-active-zones
l_s_k
关注
1. 案例1:iptables基本管理 2. 案例2:filter过滤和转发控制 3. 案例3:防火墙扩展规则 4. 案例4:配置SNAT实现共享上网
weixin_50904867的博客
10-27 270
案例1:iptables基本管理 案例2:filter过滤和转发控制 案例3:防火墙扩展规则 案例4:配置SNAT实现共享上网 1 案例1:iptables基本管理 1.1 问题 本案例要求练习iptables命令的使用,按照要求完成以下任务: • 关闭firewalld,开启iptables服务 • 查看防火墙规则 • 追加、插入防火墙规则 • 删除、清空防火墙规则 1.2 方案 iptables防火墙具有4表5链,4表分别是filter表、nat表、raw表、mangle表,5链分别是INPUT链、.
iptablesfirewalld防火墙
m0_62948770的博客
08-14 5288
认识安全的重要性,学习iptablesfirewalld
IptablesFirewalld的详解和操作
Junzizhiai的博客
05-28 1257
一、常见的两种火墙; iptables 防火墙: iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载...
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5505
iptables功能及配置
iptables之forward转发
weixin_47274990的博客
11-27 1万+
iptables之forward转发1、网络防火墙2、iptables之FORWARD转发实例 1、网络防火墙 网络防火墙处于网络入口的边缘,针对网络入口进行防护,针对整个网络入口后面的局域网。 作用: 当外部网络主机与内部网络主机互相进行通讯时,都要经过iptables所在的主机,由iptables所在的主机进行 “过滤并转发”,这就是防火墙的主要工作。 但是这又跟forward链有什么关系呢? 网络防火墙的主要职责是"过滤并转发",在五链中,只有INPUT,OUTPUT和FORWARD有fil
iptables实现网络防火墙
aryoyo的博客
12-30 697
测试环境,建立3个虚拟机器: A机器使用bridged模式:hostname是demo,ip地址是 192.168.0.106 B机器2个网卡:hostname是rhel64-64bit,bridged的网卡地址:192.168.0.101                                                                   host-only的网卡地...
IptablesFirewalld防火墙
Less_jie的博客
10-22 302
防火墙管理工具 防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙。iptablesfirewalld都不是真正的防火墙,它们都只...
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
防火墙--iptablesfirewalld
qq_43710889的博客
09-25 251
防火墙–iptables (记录记录) 参考https://www.yuque.com/xiaoyaozone/tldaxg/efw2v9 前言 iptables是fedora系列上一代防火墙,是centos/rhel 6以及6之前发行版中默认使用的防火墙服务,在rhel/centos7时代,默认的防火墙服务已经换成了firewalldfirewalld底层是使用的iptables的库,此次升级防火墙是因为iptables的使用过于复杂,命令语法不够人性化。 iptables四表五链 四表 filt
firewalliptables练习题
Bilise的博客
04-10 716
iptables练习题 1.INPUT和OUTPUT默认策略为DROP; [root@web-server1 ~]# iptables -t filter -P INPUT DROP [root@web-server1 ~]# iptables -t filter -P OUTPUT DROP 2.限制本地主机的web服务器在周二、周五不允许访问;新请求的速率不能超过150个每秒;web服务器...
防火墙之firewalld
zmac111的博客
05-26 320
防火墙之firewalld一、概述firewalldiptables 的区别二、区域概述三、数据包处理规则四、3种方法配置常见配置命令五、管理命令 一、概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙。工作在网络层,属于包过滤防火墙。 firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能。内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供
linux基础防火墙基础题
miss_miss6的博客
04-10 1165
1.INPUT和OUTPUT默认策略为DROP; iptables -P INPUT DROP iptables -P OUTPUT DROP 得改成ACCEPT要不远程不了 2.限制本地主机的web服务器在周二、周五不允许访问;新请求的速率不能超过150个每秒;web服务器包含了demo字符串的页面不允许访问;web服务器仅允许响应报文离开本机; [root@wjh ~]# iptables ...
宿主服务器通过iptables FORWARD链限制docker容器禁止对外部指定ip地址的访问
hknaruto的专栏
12-23 2731
iptables -I FORWARD -s 192.168.1.0/24 -j REJECT iptables -I FORWARD -d 192.168.1.0/24 -j REJECT
iptables 配置允许访问ip及端口
MEniDEwo的博客
03-30 1万+
配置对象centos7.3 第一步、添加规则 iptables -A INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT ## 配置允许ip为192.168.1.1的地址访问22端口 如果需要配置网段地址 ,将192.168.1.1 替换为192.168.1.0/24类型 iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 其他端口修改--dport 后面的22为其他端口...
路由与交换技术试题(二)(有答案)
热门推荐
include_ice的博客
04-27 7万+
一、选择题1. 交换机和路由器相比,主要的区别有 ( AB )A. 交换机工作在 OSI 参考模型的第二层B. 路由器工作在 OSI 参考模型的第三层C. 交换机的一个端口划分一个广播域的边界D. 路由器的一个端口划分一个冲突域的边界2. 以下不会在路由表里出现的是 : ( D )A. 下一跳地址B. 网络地址C. 度量值D. MAC 地址3. 路由器是一种用于网络互连的计算机设备, 但作为路由 ...
iptables添加防火墙限制,允许某ip或网段访问此端口
爱辉弟的博客
10-18 9353
1、在tcp协议中,禁止所有的ip访问本机的80端口 [root@node1 ~ 17:11:28]# iptables -I INPUT -p tcp --dport 80 -j DROP [root@node1 ~ 17:13:54]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptabl...
iptables 防火墙管理
gredn的专栏
10-12 974
在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***
Iptables之FORWARD转发链
周二也被占用
03-02 2万+
图有借鉴意义 本机路由转发的时候,才配置FORWARD转发链~! # iptables –A FORWARD –s 192.168.0.0/24 –j ACCEPT # iptables –A FORWARD –d 192.168.0.0/24 –j ACCEPT 上面只是打通了局域网通过此机的Forward的通道,也就是打通了局域网与外网的链路,实际上并起不到任何的作用,因
CentOS 7.3中搭建RabbitMQ 3.6多实例教程
$ systemctl stop firewalld.service # 停止firewalld服务 $ yum install iptables-services # 安装iptables服务 $ iptables -I INPUT -p tcp --dport 5672 -j ACCEPT $ iptables -I INPUT -p tcp --dport 15672 -j ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值