浅谈linux网络防火墙

最新推荐文章于 2024-05-01 03:43:43 发布
最新推荐文章于 2024-05-01 03:43:43 发布
阅读量398 收藏 2
点赞数
分类专栏: linux防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpb2019/article/details/103662506
版权

浅谈linux网络防火墙

1️⃣ iptables/netfilter网络防火墙

  • 充当网关
  • 使用filter表的FORWARD链
  • 注意的问题:
    • 请求-响应报文均会经由FORWARD链,要注意规则的方向性
    • 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行

2️⃣ 实验:模拟网络防火墙实现内外网分离

▶ 环境搭配

  • 1号内网机器配置
ip route flush dev eth0
ipconfig eth0 192.168.39.14                       / 指定内网地址
ip route add 192.168.39.0/24 dev eth0             / 创建路由表
ip route add default via 192.168.39.39 dev eth0   / 网关指向防火墙机器
yum -y install httpd
systemctl start httpd
echo "welcome to lanserver" > /var/www/html/index.html

在这里插入图片描述

  • 配置2号防火墙机器
/ 查看路由转发是否开启
[root@centos7 ~]#sysctl -a | grep ip_forward
net.ipv4.ip_forward = 0
net.ipv4.ip_forward_use_pmtu = 0

/ 永久开启写入文件
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
/ 加载生效
[root@centos7 ~]#sysctl -p
net.ipv4.ip_forward = 1
  • 配置3号互联网机器
yum -y install vsftpd httpd
systemctl start vsftpd httpd
echo "weclome to netserver" > /var/www/html/index.html
vim /etc/sysconfig/netwerk-scripts/ifcfg-ens33
TYPE="Ethernet"
BOOTPROTO=static
DEFROUTE="yes"
NAME=eth0
DEVICE=eth0
ONBOOT="yes"
PREFIX=16
IPADDR=172.20.1.248
GATEWAY=172.20.1.247                 / 网关指向firewall
DNS1=180.76.76.76

/ 加载启用网卡配置
nmcli con reload
nmcli con up eth0

/ 测试是否访问内网机器
[root@netserver ~]#ping -c3 192.168.39.14
PING 192.168.39.14 (192.168.39.14) 56(84) bytes of data.
64 bytes from 192.168.39.14: icmp_seq=1 ttl=63 time=1.71 ms
64 bytes from 192.168.39.14: icmp_seq=2 ttl=63 time=5.63 ms
64 bytes from 192.168.39.14: icmp_seq=3 ttl=63 time=1.50 ms

--- 192.168.39.14 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 1.503/2.951/5.635/1.899 ms

▶ 开始配置防火墙规则

  • 允许内网(192.168.39.0/24)的主机访问外网(172.20.0.0/16)的ftp, ssh服务,但外网的主机不允许访问内网主机的所有服务
/ 加载ftp模块
lsmod | grep ftp
modprobe nf_conntrack_ftp

/ 定义要求所需要的规则
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.39.0/24 -p tcp --dport 21:22 -j ACCEPT
iptables -A FORWARD -j REJECT

  • 内网访问互联网ftp,ssh服务,均成功
    在这里插入图片描述

  • 外网访问内网任何服务,全部拒绝
    在这里插入图片描述

  • 增加外网访问内网的httpd服务,其他服务拒绝

/ 定义要求所需要的规则

iptables -I FORWARD 2 -p tcp --dport 80 -j ACCEPT

在这里插入图片描述

3️⃣ NAT表

▶1 NAT基本概念

  • NAT:network address translation
    支持链:PREROUTING,INPUT,OUTPUT,POSTROUTING
    请求报文:修改源/目标IP,由定义如何修改
    响应报文:修改源/目标IP,根据跟踪机制自动实现

  • SNAT:source NAT
    支持链:POSTROUTING, INPUT
    让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装
    请求报文:修改源IP

  • DNAT:destination NAT
    支持链:PREROUTING, OUTPUT
    把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP
    请求报文:修改目标IP

  • PNAT:port NAT,端口和IP都进行修改,发生在多台本地网络主机的端口冲突时

▶2 SNAT配置:通过net表的target配置

  • SNAT:基于nat表的target,适用于固定的公网IP
  • SNAT选项:
    --to-source [ipaddr[-ipaddr]][:port[-port]]
    --random
  • MASQUERADE:动态IP,如拨号网络

🌐 实验:通过SNAT实现本地网络主机访问外网,而不会暴露本地网络主机IP

  • 当外网IP为固定IP时,就是防火墙连接互联网的地址
    iptables -t nat -A POSTROUTING -s 192.168.39.0/24 -j SNAT --to-source 172.20.1.247
  • 当外网IP为动态IP时
    iptables -t nat -A POSTROUTING -s 192.268.39.0/24 -j MASQUERADE
  • 内网访问外网httpd
    curl 172.20.1.248
    外网服务器httpd服务日志显示源地址为172.20.1.247,实现了SNAT功能
    在这里插入图片描述

▶3 DNAT配置:通过net表的target配置

  • DNAT:nat表的target,适用于端口映射
  • 格式:DNAT --to-destination [ipaddr[-ipaddr]][:port[-port]]

🌐 实验:实现本地网络主机通过外网的指定网址提供http服务

  • 环境搭配:
    外网指定IP:172.20.1.247,内网主机IP:192.168.39.14
    外网IP端口80指向内网主机的80端口,外网IP端口8080指向内网主机的8000端口
  • 配置内网主机多端口httpd服务
/ 创建目录生成访问页面
mkdir -p /data/website2
echo "welcome to LAN1" > /data/website1/index.html
echo "welcome to LAN2" > /data/website2/index.html
/ 编写配置文件
vim /etc/httpd/conf.d/test.conf
listen 8080
<virtualhost *:8080>
documentroot /data/website2/
<directory /data/website2>
allow from all                / httpd2.2的写法
</directory>
</virtualhost>

httpd -t
service httpd restart
  • 修改防火墙规则
/ 开放tcp 8080端口
iptables -I FORWARD 3 -p tcp --dport 8080 -j ACCEPT

/ 定义DNAT表
 iptables -t nat -A PREROUTING -d 172.20.1.247 -p tcp --dport 80 -j DNAT --to-destination 192.168.39.14:80
 iptables -t nat -A PREROUTING -d 172.20.1.247 -p tcp --dport 8080 -j DNAT --to-destination 192.168.39.14:8080
  • 外网主机访问内网不同的端口,打开不同的web网页
    在这里插入图片描述
  • 内网主机httpd的访问日志
    在这里插入图片描述

▶4 转发REDIRECT

  • REDIRECT,是NAT表的target,
  • 通过改变目标IP和端口,将接受的包转发至同一个主机的不同端口
  • 可用于PREROUTING OUTPUT链
  • 格式:REDIRECT --to-ports port[-port]
  • 实验:实现将对主机80,8080端口的访问转发至主机的8081端口
/ 修改配置文件,增加一个8081端口主机
listen 8081
<virtualhost *:8081>
documentroot /data/website1/
<directory /data/website1>
allow from all              / 注意:我这里用的是httpd2.2版本
</directory>
</virtualhost>
/ 制作访问页面
echo "welcome to lanserver 8081" > /data/website1/index.html
service httpd restart

/ 定义要求所需要的防火墙策略,注意这个是内网主机的端口转发
iptables -t nat -A PREROUTING -d 192.168.39.14 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
  • 外网访问测试
    在这里插入图片描述
lpb2019
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 防火墙详解
wq962464的博客
12-09 3578
一、linux防火墙基础 1.防火墙概念 在计算机科学领域中,防火墙(Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。 防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件 2.功能:防火墙...
Linux网络防火墙
lvqingyao520的专栏
04-28 362
//有关Linux网络防火墙CentOS7默认使用firewall作为防火墙从centos7开始使用systemctl来管理服务和程序,包括service和chkconfigsystemctl list-unit-files | grep firewalld.service   //显示firewall服务状态systemctl status firewalld.service //显示firew...
2024年最全(二)Linux 防火墙----网络防火墙,NET,firewalld(1)
最新发布
2401_83974607的博客
05-01 889
remove-port=[–zone=] 从区域中删除指定端口和协议,禁止该端口的流量,如果无–zone= 选项,使用默认区域。–list-all [–zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无–zone= 选项,使用默认区域。–remove-service= [–zone=] 从区域中删除指定服务,禁止该服务流量,如果无–zone= 选项,使用默认区域。firewall-cmd --query-masquerade 检查是否允许伪装。
linux防火墙
笨笨的博客
04-04 7804
一,何为防火墙 是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防火墙 二,防火墙分类 1.从构造上分类 硬件防火墙: 深信服,联想的网御,华为 软件防火墙 个人防火墙 定义:个人防火墙运行在 PC 上,用于监控 PC 和外网的通信信息 如windows自带的防火墙 网关防火墙 定义:在网络中的网关上配置防火墙的功能,能对网络中的流量进行策略控制,这就是网关防火墙 软件网关防火墙:如li.
linux进行网络防火墙的设置
qq_32108357的博客
06-30 296
** linux进行网络防火墙的设置 ** 我们在linux上开启服务时,通常需要关闭防火墙服务,今天就给大家介绍一下防火墙的基本设置操作。题外话:大多数人认为linux上面开启服务就需要关闭防火墙,其实,我们还可以选择在防火墙上添加策略,放开对你的服务所在端口的限制。我们选择关闭防火墙这种方法主要是简单。 1.永久性有效(重启之后不会失效) 开启:chkconfig iptables on 关闭...
linux系统---防火墙
zk584715834的博客
02-17 2155
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。简单理解为是筛选和过滤流量,对需要的流量进行放行,对不需要或者有威胁的流量进行拒绝由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。
浅谈Linux防火墙的实际应用.pdf
09-06
浅谈Linux防火墙的实际应用.pdf
浅谈Linux防火墙Netfilter_Iptables在网络安全中的应用.pdf
09-06
浅谈Linux防火墙Netfilter_Iptables在网络安全中的应用.pdf
浅谈Linux系统安全及应用.pdf
09-06
浅谈Linux系统安全及应用 Linux系统安全是Linux系统中非常重要的一方面。随着Linux系统的普及,Linux系统安全也逐渐受到人们的重视。Linux系统安全机制主要包括身份验证、访问控制、加密、防火墙等多个方面。 身份...
浅谈基于linux环境的网络监控技术.pdf
09-06
网络监控技术在Linux环境中的应用】 随着信息技术的飞速发展,网络环境的稳定性和可靠性对于业务运营至关重要。网络管理员面临着管理和优化复杂网络结构的挑战,以确保网络系统的高效运行。在这种背景下,基于...
浅谈简单使用CentOS7防火墙及开放端口
01-11
Firewalld提供动态管理的防火墙,支持网络/防火墙区域,用于定义网络连接或接口的信任级别。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了直接添加防火墙规则...
Linux网络防火墙详解
a20089117的博客
09-20 271
一、防火墙基本知识 二、firewall防火墙 # 安装firewalld [root@localhost ~]# apt-get install firewalld [root@localhost ~]# yum install firewalld # 查看firewalld服务状态 [root@localhost ~]# systemctl status firewa...
linux 网络防火墙教程,Linux防火墙Iptables详细教程
weixin_39724004的博客
05-08 154
Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具。iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭、启动某组规则。iptable能够为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创...
linux系统之网络防火墙(firewalld服务和iptables服务)
Mangke的博客
12-06 2053
linux系统之网络安全 防火墙
linux防火墙
m0_71518373的博客
08-14 2731
linux防火墙软件iptables的相关信息和使用方法
linux网络防火墙,Linux的安全设置,网络防火墙
weixin_39737001的博客
05-07 228
下面介绍的是Linux的安全设置,网络防火墙(iptables、NAT、layer7、diff、patch、SELinux)一、防火墙1、防火墙基础(1)、防火墙防火墙,是一种隔离工具,工作于主机和网络边缘。对于经过防火墙的报文,根据预先安排好的规则进行检测,如果能够匹配,则按照特定规进行处理。(2)、防火墙分类防火墙分为两类,软件防火墙、硬件防火墙。软件防火墙有iptables、netfilte...
(二)Linux 防火墙----网络防火墙,NET,firewalld
weixin_45697293的博客
05-31 414
文章目录六. 网络防火墙综合实验:七. NAT2. SNAT3. DNAT(重点***)(端口映射,只能一对一)4. 转发(端口重定向redirect)重点八. firewalld服务(centos 7)firewalld zone分类预定义服务firewalld配置firewall-cmd 命令选项九. firewall其它规则管理rich规则rich日志规伪装和端口转发端口转发练习 六. 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORW
Linux网络防火墙的简单指令
MARKPAIN的专栏
01-20 677
Linux防火墙
浅谈linuxptp
09-23
Linuxptp是一个用于在Linux系统上实现精确时间同步的软件。它是一个遵循PTP(协议)的守护进程,可用于在计算机网络中同步时钟。它使用PTP协议(即IEEE 1588)来实现高精度的时间同步,以纳秒级别的精确度进行时钟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值