第一步:查看防火墙的规则: ipatbles -L;
默认规则是允许icmp包的进出,但是禁止icmp包的转发
3
第二步:
清空防火墙的规则:iptables -F
第三步:查看本机IP地址 输入命令ip addr
3
第四步:将icmp出入报文设置为拒绝
iptables -I INPUT -p ICMP -j DROP
iptables -I OUTPUT -p ICMP -j DROP
iptables -P FORWARD ACCEPT
第五步:在防火墙设备中,实现任务要求的规则配置,放行外部网络对内部网络的ICPM
响应报文(Type 0),以及放行内部网络对外部网络的ICMP请求报文(Type 8)
iptables -I INPUT -p ICMP –icmp-type 0 -d 192.168.110.0/24 -j ACCEPT
iptables -I OUTPUT -p ICMP –icmp-type 8 -s 192.168.100.0/24 -j ACCEPT
Iptables -P FORWARD ACCEPT
第六步:从外网ping内网,ping不通
3
第七步:从内网ping外网,ping的通
3
思考题:首先先清掉所有规则,并查看清空前后的规则表
iptables -F
Iptables -L–line-numbers
写入新规则
iptables -I INPUT -p ICMP -j ACCEPT
iptables -I OUTPUT -p ICMP -j ACCEPT
发现内网ping防火墙可以ping通,而防火墙ping内网也可以ping通
3
5.2防火墙 NAT 路由转换配置实验
1. 设置默认策略,允许所有的包通过,下列为设置规则的命令
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
2. 使用 MASQUERADE(动态伪装),能够自动的寻找外网地址并改为当前正确的外网 IP 地址,
下列为设置规则的命令
iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE
3. 添加 DNAT(目的地址转换)规则,将外部网卡传入的想要访问内部设备 SSH 服务的请
求
包重新映射为内部地址及端口(192.168.110.110:22),下列为设置规则的命令
iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 --dport 22 -j DNAT --to
destination
192.168.110.110:22
4. 查看iptables 的 nat 规则;iptables -t nat -L
5. 内部设备访问外部设备,ssh root@192.168.100.110
6.外部设备访问内部设备,ssh
root@192.168.100.1
7.连接成功后查看SSH连接到的设备IP:
ip addr
3
8.保存防火墙规则,重启iptables服务
service iptables save
service iptables restart
1. 实验指导书第一部分里面第八步给的命令是错的,ACCEPT 前少了-j;
2. 实验指导书给的 iptables 的规则命令中,应该是--而不是-
实验总结
了解了配置防火墙的基本命令,以及如何查看本机ip地址,同时也了解到防火墙
的基本原理是
根据预定义的规则和策略来控制流经它的网络流量,以决定允许
或拒绝特定数据包或连接。同时也了解到了防火墙的基本方针:
没有明确允许
的都是被禁止的,没有明确禁止的都是被允许的:也即是允许一切未被特别
拒绝的东西。同时还明白了如何配置防火墙的转发设置,查看路由规则表、
添加删除规则表中的某一规则、导出规则并保存为文件存在桌面以及导入文件
等命令
扫一扫
1234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
