防火墙的配置

最新推荐文章于 2022-02-20 22:20:23 发布
最新推荐文章于 2022-02-20 22:20:23 发布
阅读量894 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37047265/article/details/78937641
版权

配置与管理iptables防火墙

1、实训目的

能熟练完成利用iptables架设企业NAT服务器。

2、项目背景

假如某公司需要Internet接入,由ISP分配IP地址202.112.113.112。采用iptables作为NAT服务器接入网络,内部采用192.168.1.0/24地址,外部采用202.112.113.112地址。为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail三台服务器;内部Web服务器192.168.1.100通过端口映象方式对外提供服务。

该公司网络拓扑图如下图所示

      :

3、实训内容

练习Linux系统下NAT和iptables防火墙的配置。

一、fuwuqi操作
1、fuwuqi的网络适配器为V8   kehuji为v1


1、基本网络设置,配置外网(eth0)和内网(eth1)
ifconfig eth0 172.30.1.2
ifconfig eth1 192.168.1.2


1.设置默认网关和查看
[root@HuYingLan ~]# route add default gw 172.30.1.1
[root@HuYingLan ~]# route -n


2、清除防火墙原始规则
[root@HuYingLan ~]# iptables -t filter -F
[root@HuYingLan ~]# iptables -t nat -F
[root@HuYingLan ~]# iptables -t mangle -F


3、给防火墙写入新的规则(web/dns/电子邮件/SMTP/)
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p udp --dport 80 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p udp --dport 25 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth0 -p  udp --dport 110 -j ACCEPT
[root@HuYingLan ~]# iptables -L


4、防止外部主机ping内部主机(防止联通)
[root@HuYingLan ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP(进入的包是请求包,拒绝)
[root@HuYingLan ~]# iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP(出的包是应答的包,拒绝)
[root@HuYingLan ~]# iptables -A FORWARD -p icmp --icmp-type 0 -j DROP(转发的包也拒绝)
[root@HuYingLan ~]# iptables -A FORWARD -p icmp --icmp-type 8 -j DROP


5、防止外部主机对内部主机进行扫描和攻击(对TCP协议的标志进行控制)
[root@HuYingLan ~]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
[root@HuYingLan ~]# iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
[root@HuYingLan ~]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
[root@HuYingLan ~]# iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
[root@HuYingLan ~]# iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP(对控制类进行控制)
[root@HuYingLan ~]# iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP


实现nat功能


6、开启路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward


7、启动iptables的nat功能
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 172.30.1

[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p udp --dport 80 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p udp --dport 25 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
[root@HuYingLan ~]# iptables -A FORWARD -i eth1 -p udp --dport 110 -j ACCEPT


查看语句:
[root@HuYingLan ~]# iptables -L
[root@HuYingLan ~]# iptables -L|more
[root@HuYingLan ~]# iptables -L -v|more




二、kuehuji操作
1、重启网卡
service network start
1、设置客户机连接外网的ip地址
ifconfig eth0 192.168.1.100


2、设置默认网关
route add default gw 192.168.1.2


 3、设置dns服务器
vi /etc/resolv.conf


1、按i   将其中一个地址改为192.168.1.100




2、验证能否通过nat转发上网
nslookup www.baidu.com

资料查找网址:https://wenku.baidu.com/view/c3f82626453610661ed9f4e6.html

Z丶wencai
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置防火墙telnet
weixin_39899118的博客
06-07 1396
拓扑图如下: 只有PC可以telnet到防火墙ISP不能telnet防火墙) @防火墙配置: 1,接口配置IP及接口加入安全区域 int g1/0/0 ip ad 200.1.1.1 30 service-manage telnet permit int g1/0/1 ip ad 192.168.1.254 24 firewall zone trust add int g1/0/1 #firewall zone untrust add int g1/0/0 2,配置telnet [USG600V1]
防火墙的部署
wzt888的博客
06-07 4881
yum install firewalld firewall-config1.火墙的启动systemctl stop iptables.servicesystemctl disable iptables.servicesystemctl start firewalld.service systemctl enable firewalld.service2.firewall管理 <1>f...
Linux网络管理实 验 指 导
热门推荐
linuxlsq的博客
12-21 1万+
Linux网络管理   实 验 指 导                             实验一  TCP/IP网络接口配置 一、实验目的 ● 掌握Linux下TCP/IP网络的设置方法。 ● 学会使用命令检测网络配置。 ● 学会启用和禁用系统服务。 二、项目背景 某企业新增了Linux服务器,在但还没有配置TCP/IP网络参数,请设置好各
任务06 iptables和nat的配置与管理
sunshines_me的博客
12-29 917
任务06.配置与管理iptables防火墙 一、实训目的 能熟练完成利用iptables架设企业NAT服务器。 二、项目背景 假如某公司需要Internet接入,由ISP分配IP地址202.112.113.112采用iptables作为NAT服务器接入网络,内部采用192.168.1.0/24地址,外部采用202.112.113.112地址。为确保安全需要配置防火墙功能,要求内部仅能够
iptables
qq_38135115的博客
07-14 1041
一、防火墙概述 1.什么是防火墙防火墙通常具备以下几个特点。 (1)位置权威性。 (2)检测合法性。 (3)性能稳定性。 2.防火墙的种类 (1)包过滤防火墙 (2)代理防火墙 (3)状态检测技术 二、iptables简介 firewalld 早期的Linux系统采用过ipfwadm作为防火墙,但在2.2.0核心中被ipchains所取代。 Linux 2.4版本发布后,netfilter/iptables信息包过滤系统正式使用。 Netfilter/iptables IP数据包过滤系统实际由
360网神防火墙配置手册
08-24
360网神防火墙配置手册
红帽防火墙配置文件:打开防火墙,并开放某些端口
04-21
红帽系统可以直接将此配置文件放到【/etc/sysconfig】路径下,命名为iptables注意不要删除最后一行。 以下内容为打开某个端口 -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
SonicWALL防火墙配置
07-22
资源名称:SonicWALL防火墙配置资源目录:【】onicWALL防火墙配置 Access Rules 禁止某些 PC访问外网【】SonicWALL 防火墙 HA 配置【】SonicWALL 设备注册 2011中文版【】SonicWALL 防火墙对于中国3G卡的配置【】...
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny udp any any eq 445 deny udp any any eq 135 deny udp any any eq 137 deny udp any any eq 138 deny udp any any eq 139 permit ip any any 2.在所有接口上应用此策略 inter fe 0/0 ip access-group 445 out 华为设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 inter gi 0/0/0 traffic-filter inbound acl 3000 traffic-filter outbound acl 3000 H3C设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 (接口根据实际情况更改) inter gi 0/0/0 packet-filter inbound link-group 3000 packet-filter outbound link-group 3000 永恒之蓝蠕虫可以通过互联网和局域网广泛传播,因此安全防护要在电脑和服务器端都进行加固 1.打补丁 2.关闭445端口(附脚本.bat文件) 3.防火墙和其他网络设备禁用445 135-139端口,防止网内病毒传播
H3C防火墙配置指南(高清)
12-13
H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置...
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
只接受来自特定页的访问php,通过.htaccess设置你的网站只允许来自中国IP的访问...
weixin_32252271的博客
03-23 1170
如果你希望自己的网站只能中国人访问,那么这绝对是一个很好的方法,这个.htaccess的规则限定了只有中国IP才能打开你的网站,非常方便的限制了非中国IP的访问deny from allOptions +FollowSymLinksRewriteEngine OnRewriteBase /#上面的PIC是目录名,可以自己定义RewriteCond %{REQUEST_FILENAME} -f [O...
第29节 天融信Topgate防火墙基础配置案例
m0_64378913的博客
02-20 1万+
防火墙配置目录1 实验拓扑图及实验要求1.1 网络拓扑图1.2 实验1:验证防火墙的区域隔离及策略编写1.3 实验2:做源转换SNAT1.4 实验3:目标转换DNAT1.5 实验4:应用层过滤2 实验1演示过程—验证防火墙的区域隔离及策略编写2.1 搭建网络拓扑结构2.2 给防火墙创建区域并配置IP2.3 在防火墙上写策略2.4 实验验证3 实验2演示过程—做源转换SNAT4 实验3演示过程—做目标地址转换DNAT4.1 将win2003-DMZ部署为网页服务器4.2 将隔离区
华为USG防火墙基本配置
weixin_34124577的博客
07-06 4076
USG防火墙基本配置学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙配置vlan、地址接口、测试基本连通性的方法拓扑图 学习任务步骤一.登陆缺省配置防火墙并修改防火墙的名称 防火墙和路...
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
Juniper ScreenOS防火墙配置指南
本指南提供了关于防火墙配置的详细信息,包括如何配置防火墙规则、网络地址转换和防止攻击等相关知识点。 10. 故障排除 本指南提供了关于故障排除的详细信息,包括如何诊断和解决防火墙相关的问题。 本资源提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值