33. linux中firewalld防火墙的地址伪装与地址转发

最新推荐文章于 2022-08-07 16:00:00 发布
最新推荐文章于 2022-08-07 16:00:00 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Linux运维基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43687755/article/details/99704763
版权

Lesson33 linux中firewalld防火墙的地址伪装与地址转发

文章目录

1. 实验:拒绝ip为172.25.254.250主机访问我的desktopfirewalld火墙服务器

实验目的:拒绝ip为172.25.254.250主机访问我的desktopfirewalld火墙服务器,desktop火墙服务器的ip为172.25.254.114
说明:因为172.25.254.250是别人主机的ip,为了验证实验现象,我先完成拒绝自己的真机(ip为172.25.254.14)访问desktop防火墙服务器

实验步骤:
在desktop服务器端

firewall-cmd --permanent --add-service=ssh  #给火墙永久添加ssh服务
firewall-cmd --reload  #重新加载使其生效
firewall-cmd --list-all  #查看火墙信息列表,查看ssh服务是否已经成功添加

在这里插入图片描述

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.250 -p tcp --dport 22 -j REJECT #永久添加规则,指定ipv4的filter表的INPUT 1链,数据来源为172.25.254.250的,传输协议为tcp,到达22端口(ssh服务的端口)的动作为拒绝

各参数说明:
–direct 规则
–add-rule 添加规则
指定ipv4的filter表
INPUT-s 数据来源
-p 访问采用的协议
–dport 目的地端口 distnation port
-j 行为动作 REJECT(拒绝有回显)| ACCPET(接受)| DROP(拒绝无回显)

拒绝172.25.254.14访问desktop的firewalld服务器
在这里插入图片描述

在真机进行测试
ssh root@172.25.254114 #查看真机是否能够使用ssh服务连接desktop虚拟机

在这里插入图片描述可以看到,无法连接至172.25.254.114主机,22端口访问被拒绝
移除拒绝172.25.254.14访问的策略
在这里插入图片描述
在这里插入图片描述
可以看到,此时真机端已经可以通过ssh服务访问desktop服务器端

2. firewalld的源地址伪装(postrouting路由之后)与目的地址转换(prerouting路由之前)

在desktop服务器端必须首先开启防火墙的地址伪装功能和路由功能ip_forward=1
在这里插入图片描述

vim /etc/sysctl.conf #编辑/etc/sysctl.conf文件
 net.ipv4.ip_forward=1  #写入内容使ip_forward=1,开启路由功能
sysctl -p  #刷新使其生效
2.1 源地址伪装(SNAT postrouting路由之后,例如上网)
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。

源地址转换SNAT即内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
将内网地址转换成公网址(一般是网关的外部地址),所以大家经常会看到为了让内网用户上公网,我们必须在routeros的firewall中设置snat,俗称IP地址欺骗或伪装(masquerade)

在server端测试
在server端(ip为192.168.0.214)添加网关为192.168.0.114,若不添加,则ping不通172.25.254.14
在这里插入图片描述
在这里插入图片描述重启网络
在这里插入图片描述
route -n #查看网关是否成功添加
在这里插入图片描述

在desktop服务器端:
从22端口进来的数据都转到172.25.254.15这台主机上去
在这里插入图片描述
在server端测试
ssh root@172.25.254.15 #连接172.25.254.15,登陆上去之后,使用w -i查看登陆过15这台主机的ip
在这里插入图片描述
可以看到,虽然登陆172.25.254.15这台主机的ip为192.168.0.214,实际上却是172.25.254.114,说明地址伪装成功

2.2 目的地址转换(DNAT,prerouting路由之前,例如发布网站)
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。

为了不受上一个地址伪装的实验的影响,将172.25.254.15这台主机从desktop服务器端移除
在这里插入图片描述
重新添加172.25.254.14(真机ip)允许访问desktop服务器端,查看列表可以看到forward-ports中成功添加了172.25.254.14, 意思是从22端口进来的数据都转到172.25.254.14这台主机上去
在这里插入图片描述
在真机端进行测试
在真机上ssh root@172.25.254.114
在这里插入图片描述
这里需要注意,虽然显示的是要求输入172.25.254.114的密码,实际上需要输入真机(172.25.254.14)的密码,这里验证了连接确实会被转到172.25.254.14去
可以看到,能够成功访问desktop服务器
ifconfig br0 #查看真机ip为172.25.14.250
在这里插入图片描述
使用w -i可以看到,172.25.254.114登陆了真机
在这里插入图片描述
做完地址转换的实验,firewalld防火墙实验就暂停了,下边要学习iptables防火墙,因此关掉firewalld服务,设置为不开机自启动,以免对iptables实验造成影响
在这里插入图片描述

Nickxyoung
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网安系列:巧妙利用Linux系统IP伪装抵住黑客攻击(仅供参考)
weixin_54626591的博客
03-09 42
巧妙利用Linux系统IP伪装抵住黑客攻击
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld... systemctl start firewalld.service 2、关闭一个服务: systemctl stop firewalld.service 3、重启一个服务: systemctl restart firewalld.service 4、显示一个服
Firewalld防火墙地址伪装和端口转发
weixin_44401148的博客
01-09 2355
Firewalld防火墙地址伪装和端口转发 一.实验环境 实验要求 推荐步骤 二.实验步骤 1.在网关服务器上配置主机名及网卡地址 Hostname gateway-server 为网关服务器添加两块网卡,分别为ens37和ens38 为三块网卡设置合适的ip地址 ens33:192.168.1.2/24 Ens37:192.168.2.2/24 Ens38:192.168.3.2/24...
firewalld防火墙(二)实验案例:ip地址伪装,端口转发
weixin_45014003的博客
05-11 737
实验要求: 全网互通 搭建网站 配置防火墙,划分区域,配置默认区域 配置ip地址伪装centos01-centos03 配置端口映射centos04-centos01 实验步骤: 一、全网互通 1、配置IP地址,默认网关 Centos01 Centos02 Centos03 Centos04 2、开启路由转发,实现全网互通 二、搭建网站 Centos01 Centso03 Centos04 ...
firewalld 防火墙
NB_____的博客
05-08 199
实验环境描述: 某公司的Web服务器,网关服务器均采用Linux Centos7.3操作系统,为了加强网络访问的安全性,要求管理员熟悉firewalld防火墙规则的编写,以便制定有效、可行的主机防护策略。 需求描述:网管服务器ens32网卡分配到trusted区域,ens34网卡分配到external区域,ens35网卡分配到DMZ区域。 网站服务器和网关服务器将SSH默认端口都改为12345。 网站服务器开启https,过滤未加密的http流量,且拒绝ping。 推荐步数: 基本环境配置。 (1)为网关
Firewalld的图形化管理和命令管理 及firewalld地址转发伪装
Rapig1的博客
08-16 354
1.什么是firewalld 防火墙Firewalld),是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出 防火墙是系统的第一道防线,其作用是防止非法用户的进入 centos 7 防火墙Firewalld是一个非常强大的功能,Firewalld提供了支持网络/防火墙区域(zone)定义网络连接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv...
firewalld防火墙IP伪装和端口转发
qq_50748405的博客
05-12 1786
实验案例:firewall防火墙地址伪装和端口转发 实验环境 某公司的Web服务器、网关服务器均采用Linux CentOS 7.3操作系统,如图所示。为了加强网络访问的安全性,要求管理员熟悉firewall防火墙规则的编写,以制定有效、可行的主机防护策略。 实验拓扑: 需求描述: 网关服务器ens33网卡分配到trusted(信任)区域,ens34网卡分配到external(外部)区域,ens35网卡分配到dmz(非军事)区域。 网站服务器和网关服务器将ssh默认端口都改为12345 网站服务器开启h
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
firewalld应用配置实战(二)-地址伪装和端口转发
博海先森
04-10 1067
注意:这篇文章是第一篇文章的升级版 说明: 基本的配置与第一篇大同小异,包括更改主机名、网卡的配置、开启路由转发、更改区域、SSH侦听端口、放行、禁止那些规则都是一样的,那么本篇文章的要求是可以已经理解firewalld的直接规则、富语言等等,这里并不在陈述细讲,如果是需要了解的可以百度了解。 要求与上一篇的大同小异,只不过加入了两个新的需求: 公司内网用户需要通过网关服务器共享上网 互联网用...
firewalld防火墙配置、测试服务、高级配置与IP伪装、端口转发
m0_56593239的博客
05-09 975
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Firewalld防火墙防火墙基础一、防火墙配置二、使用防火墙安装http服务测试分别测试内网、外网、dmz开四台虚拟机安装服务实现浏览器测试 防火墙基础 防火墙的作用和特点 防火墙的作用 对数据进行过滤,发现可疑流量进行阻断 防火墙的特点 增强安全 防止外网对内部网络发送攻击 防火墙的类型 软件防火墙 Windows防火墙、iptables、firewalld、TMG都属于软件防火墙 处理数据速度慢 硬件防
firewalld 防火墙 nat 网络地址转换
weixin_30814223的博客
05-11 1029
目的:实现以下效果 一、 准备环境 @1 三台虚拟机 @2 client 端 ip 192.168.1.2 server端 两块网卡 , ip 分别是 192.168.1.1 和 172.16.100.1 web端 ip 为 172.16.100.3 注:虚拟机添加网卡后没显示配置文件,需要自己手动编辑一个配置文件 二,部署环境 1> 这时会发...
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇
m0_47219942的博客
08-02 3760
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇前言一:NAT实验1.1:实验环境1.2:实验目的1.3:实验分析图1.4::实验步骤1.4.1:linux防火墙1.4.2:web虚拟机配置1.4.3:客户机配置1.5:实验结果1.6:实验总结 前言 NAT包含DNAT和SNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令的一
Linux 服务器 Firewalld 防火墙配置端口转发
煜铭2011
08-07 6783
业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。.........
linux防火墙的限制和路由端口打开、地址转换
Y950904的博客
06-13 1545
一、linux防火墙的限制: 只允许172.25.254.16连接: [root@server ~ ]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.16 -j ACCEPT success 只不允许172.25.254.16连接,其他主机是可以连接的: [r...
伪装来源地址绕过referer判断
在路上
07-13 2079
为了向同事说明referer判断来源地址可以伪装,写了这个例子,网上php,asp之类的很多,而java的可能因为太简单反而没有人写,所以把这段代码放到这里。 [code="java"]public class webclient { /** * 这个类用来模拟客户端模拟referer。 * t.jsp是远程服务器上的文件,通过request.getHeader("refer...
linux服务器IP伪造,Linux服务器间同网段IP伪装端口映射
weixin_36332616的博客
04-29 634
Linux服务器间同网段IP传伪装端口映射主机(网关)ip:192.168.4.18目标主机 ip :192.168.4.25映射端口: 21echo "1" > /proc/sys/net/ipv4/ip_forward#/sbin/rmmod ipchains/sbin/modprobe ip_tables/sbin/modprobe iptable_filter/sbin/modpro...
Linux ping 202.112.113.113因为firewalld防火墙而不畅通怎么解决
最新发布
06-10
如果是Linux系统下ping 202.112.113.113因为firewalld防火墙而不畅通,可以通过以下方法来解决: 1. 查看防火墙状态:可以通过以下命令查看firewalld防火墙的状态: ``` systemctl status firewalld ``` 如果防火墙状态为“inactive”则表示防火墙已关闭,如果为“active”则表示防火墙已启用。 2. 关闭防火墙:如果firewalld防火墙已启用并阻止了ping命令的执行,可以通过以下命令关闭防火墙: ``` systemctl stop firewalld ``` 3. 放行ping命令的端口:如果不想关闭防火墙,可以通过以下命令放行ping命令所使用的端口: ``` firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="your_ip_address" protocol value="icmp" accept' ``` 其,将“your_ip_address”替换为你的IP地址,执行完以上命令后需要使用以下命令重启firewalld服务: ``` systemctl restart firewalld ``` 执行以上命令后,就可以通过ping命令ping通目标IP地址了。如果还有其他防火墙软件,需要参考对应的防火墙设置方法进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值