Iptables实现 DMZ 区域的服务器简单的发布策略

最新推荐文章于 2024-08-03 21:02:21 发布
最新推荐文章于 2024-08-03 21:02:21 发布
阅读量404 收藏 2
点赞数
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33691817/article/details/85072521
版权
发布DMZ 内部的服务器,能够使INTERNET 客户机访问DMZ 内的邮件服务、网站、FTP ,等服务器,使内部的主机能够连接到INTERNET 发送外网邮件;拒绝不正常的连接和***的***。
 
、主机配置:

具体的配置文件:
主机名:iptables.bdqn.com
/etc/hosts  
/etc/sysconfig/network  
内部接口:eth0 IP 192.168.10.2/24
/etc/sysconfig/network-scripts/ifcfg-eth0
公共接口:eth1 IP 202.202.202.100/24
/etc/sysconfig/network-scripts/ifcfg-eth1
 
IPTABLES 防火墙的具体配置

安装iptables 的软件包,RedHat 系统已经默认安装
具体的配置规则如下:
首先打开内核的转发功能:echo “echo 1 > /proc/sys/net/ipv4/ip_forward”> /etc/rc.d/rc/local

  iptables -F 清空 此表中的规则
  iptables -X 清空 此表中的自定义规则
  iptables -Z 清空 此表中的计数器为0
Netfilter 表的配置
 
1.     iptables –P INPUT DROP
2.     iiptables –P OUTPUT DROP
3.     iptables –P FORWARD ACCEPT
4.     Iptables –A –p icmp –i eth1 –j DROP
5.    iptables -A -INPUT -m limit --limit 3/minute --limit-burst 3
         -j LOG --log-level INFO --log-prefix "IP INPUT packr\et died:"
6.     iptables -A -FORWARD -m limit --limit 3/minute --limit-burst 3
         -j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"
7.     iptables -A -OUTPUT -m limit --limit 3/minute --limit-burst 3
         -j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"
 
Nat 表的配置
1.    iptables   -t nat –P OUTPUT DROP
2.    iptables   -t nat –P PREROUTING DROP
3.    iptables   -t nat –P POSTROUTING DROP
4.    iptables   -t nat –A POSTROUTING –o eth1 –s 192.168.10.0/24 –j SNAT --to 202.202.202.100
#转换 192.168.10.0 网段的地址到 公网地址接口
 
5.    iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 80 –j DNAT   --to 192.168.10.5:80
#转换外部请求的www服务到 192.168.10.5这台www服务器上
6.    iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 25 –j DNAT   --to 192.168.10.4:25
#转换外部请求的smtp服务到192.168.10.4这个mail服务器上
 
7.    iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 110 –j DNAT   --to 192.168.10.4:110
#转换外部请求的pop3服务到192.168.10.4这个mail服务器上
8.    iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 20 –j DNAT   --to 192.168.10.52:20
#转换外部请求FTP数据端口20服务到192.168.10.52这个服务器上
9.    iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 21 –j DNAT   --to 192.168.10.5:21
#转换外部请求FTP控制口21服务到192.168.10.52这个服务器上
10.   iptables   -t nat –A   PREROUTING  -i eth1 –p udp –dport 53 –j DNAT   --to 192.168.10.3:53
#转换外部请求DNS udp端口53服务到192.168.10.3这个服务器上
11.   iptables   -t nat –A   PREROUTING  -i eth1 –p tcp –dport 53 –j DNAT   --to 192.168.10.3:53
#转换外部请求DNS tcp端口53服务到192.168.10.3这个服务器上
 
Mangle 表的配置

1.       iptables –t mangle –P INPUT DROP
2.       iptables –t mangle –P OUTPUT DROP
3.       iptables –t mangle –P FORWARD ACCEPT
4.       iptables –t mangle –P PREROUTING DROP
5.       iptables –t mangle –P POSTROUTING DROP
 
配置后保存配置:

iptables-save > /etc/sysconfig/iptables
恢复配置:
iptables-restore < /etc/sysconfig/iptables
防火墙配置完毕

 

weixin_33691817
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web服务器iptables配置脚本实现代码
09-15
主要介绍了web服务器iptables配置脚本实现代码的相关资料,需要的朋友可以参考下
iptables构建简单DMZ防火墙
Celeste7777的博客
07-19 2667
说明:一般被保护的内部网络可分成两部分,一部分是内部通讯区,只允许内部用户访问,绝对禁止外部用户访问,另一部分是停火区DMZ,对外提供有条件的服务。前者是系统的核心子网,后者易受到外部的攻击,是一个比较危险的子网环境。一方面要求严格保护内部子网,另一方面又要满足DMZ对外提供服务的需要,因此,必须采用分别保护的策略,对上述两个区域进行保护。两个区域要尽量独立,即使DMZ受到外部攻击,内部子网仍处于防
路由器中的DMZ功能是什么?功能及设置方法详解
热门推荐
oray2013的专栏
01-19 9万+
可能有很多小伙伴注意到了,很多路由器都有一个DMZ功能,但是很多小伙伴都不知道DMZ功能有什么用,开启后效果是什么样的,下面小编就和大家分享下关于DMZ是什么,具体有哪些功能,还有使用方法。 DMZ有什么用? 如果想要通过外网访问内网的设备,一般都需要打开路由器的DMZ的功能,通俗来讲,如果要找到某台设备需要该设备的地址,如果需要某项功能,那么就需要该功能的端口号,而DMZ就可以将外部访问到路由器的端口直接转给目标地址的端口,实现外网与内网某服务器设备的连接。 DMZ功能是指将设备的所有服务端
Linux服务--iptables之nat转发和构建简单DMZ防火墙
weixin_34087503的博客
10-07 784
iptables之nat转发和构建简单DMZ防火墙一.NATiptables中的nat表:nat:NetworkAddressTranslation:NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的***,隐藏并保护网络内部的计算机.nat有三种实现方式:SNAT,DNAT和端口多路复用OverLoad在了解Nat工作原理之前先了解一下私网...
【Linux】防火墙iptables详解
须知少日拏云志,曾许人间第一流。
04-01 1504
防火墙是一种网络安全设备,用于监控和控制数据包在网络中的流动,以保护网络免受未经授权的访问、恶意攻击和其他安全威胁。防火墙可以是软件、硬件或组合体,其主要功能包括: 封端口封ip 实现NAT功能 共享上网 端口映射(端口转发),ip映射
DMZ
weixin_30693683的博客
01-26 122
DMZ是非军事化区域,在计算机中指周边网络。通常概念上的说法是充许数据的流入和流出。这样就不需要对每个端口进行单独设置。DMZ域主要部署面向外部提供服务的服务程序。DMZ从功能上来说是一个小的隔离出来的位于因特网和私有网之间的网络。 举个不是太恰当的例子,路由器类似于某单位的电话交换机。每个分机都可以打出电话;但是如果别人想打进来,只知道总机号是不行的,不知道分机号就没办法转到特定的某部分机。通...
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
linux vps服务器常用服务iptables策略
09-15
linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉
阿里云linux服务器上使用iptables设置安全策略的方法
09-15
主要介绍了阿里云linux服务器上使用iptables设置安全策略的方法,需要的朋友可以参考下
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网 本文将详细介绍如何使用iptables实现端口转发和内网共享上网。iptables是一个Linux下的优秀的nat+防火墙工具,可以配置灵活强劲的防火墙+nat系统。 首先,需要说明的是,...
linux下iptables/netfilter搭建DMZ[转]
杀出条血路来
03-08 4819
防守在网络安全中的重要性不必多说。保护网络最常见的方法就是使用防火墙。防火墙作为网络的第一道防线,通常放置在外网和需要保护的网络之间。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。这对
Day08
qq_46702575的博客
07-27 369
DMZ,NAT
DMZ隔离区详解
Iands。的博客
08-13 3301
DMZ隔离区 DMZ全称Demilitarized Zone,中文名称“隔离区”,也称“非军事化区”。(一个逻辑上的分区) 一、网络安全可以被划分为三个区域: 安全级别最高的LAN Area(内网) 安全级别中等的DMZ(隔离区) 安全级别最低的Internet(外网) 二、原理 (1)主要是将一些对外提供服务的服务器划分到一个特定的子网—DMZ区域 (2)在DMZ区域内的主机可以通信DMZ区域跟外部网络的主机,但是无法访问内网的主机 (3)在DMZ区域主机可以被内外网访问,同时内部网络又能避免被外部网
防火墙和访问控制
little_baixb的博客
12-15 4172
文章目录一、IPtables1、IPtables简介2、四表五列3、安装操作IPtables3.1、IPtables的配置3.2、IPtables的语句格式3.2.1、协议匹配3.2.2、端口匹配3.2.3、修改规则及禁止ping3.3、IPtables拓展操作4、IPtables网络地址转换 NAT模式5、企业级防火墙配置二、Firewalld1、Firewalld简介2、Firewalld相关命令3、Firewalld配置使用三、TCPwrapper访问控制工具1、什么是TCPwrapper2、TCPw
堡垒机,DMZ
lwbcsd的博客
12-03 2185
堡垒机 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能。 从技术实现上讲,通过切断终端计算机对网络服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络服务器的访问。 DMZDMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,
选用单防火墙DMZ还是双防火墙DMZ
04-03 1024
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些
什么是DMZ(Demilitarized Zone)?
Copy's Blog
11-15 3376
针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域DMZ可以理解为一个不同于外网或内网的特殊网络区域DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ服务器受到破坏,也不会对内网中的机密信息造成影响。
家用路由器网络设置DMZ
weixin_30906671的博客
05-16 1398
2分钟看懂DMZ区 装载 原文链接 最近看到一个名词“DMZ区”,一直充满疑问,今天对其进行了查询,理解如下: 1、DMZ是什么? 英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。 2、DMZ做什么? DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。 用户要从外网访问到的服务,理论上都...
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 424
使用TCP协议支持与多个客户端同时通信。
强化服务器安全:iptables防火墙配置实例解析
本文档详细介绍了如何通过配置iptables防火墙来增强服务器的安全性,适合对网络安全有一定了解但希望...总结来说,掌握iptables的配置方法对于保护服务器免受攻击,优化网络流量,以及实现灵活的网络策略至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值