iptables防火墙(二)

最新推荐文章于 2019-03-25 22:15:00 发布
最新推荐文章于 2019-03-25 22:15:00 发布
阅读量87 收藏
点赞数
文章标签: 运维 操作系统 开发工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33882443/article/details/85091890
版权

防伪码:要输就输给追求,要嫁就嫁给幸福

                                    第十一章 iptables防火墙(二)

前言:本章我们来学习使用iptables做网关服务器,并使用NAT功能共享上网以及发布服务器,和我们之前学过的nat原理完全一样,所以本章主要就是实验操作了。最后我们在再写个防火墙脚本(快速部署防火墙规则),加综合实战演练。

一、SNAT策略

SNAT和我们在路由器上做的PAT是一样的,为了局域网接入internet,原理就不说了,直接做实验。

1、实验环境

wKiom1f4jKTgqRYiAAEnK-Qpv8c608.png-wh_50

在虚拟机上简化为如下图

wKiom1f4jLuT-D1FAAAb0-KeNeo710.png-wh_50

2、在网站服务器上搭建网站

wKioL1f4jOHxMS4yAAAmR7qKjm8799.png-wh_50

3、在internet测试机上同样搭建网站

wKioL1f4jP2ylrv9AAAncSv3ks0257.png-wh_50

4、在网关服务器上添加两块网卡,分别是eth0:192.168.1.1和eth1:173.16.16.1然后开启路由转发功能:

wKioL1f4jQ-T7N6UAAAfFC-m6BY850.png-wh_50

wKioL1f4jSWCGKJSAAANUeHnqHo199.jpg-wh_50

wKioL1f4jTeSLofKAAAi2n5Vfiw298.jpg-wh_50

5、在网关服务器上配置SNAT策略

wKioL1f4jYPiFLJBAAAqLFbdMjM336.png

6、在内部网站服务器上访问http://173.16.16.16

wKioL1f4jZayv9aIAAAkjDbMAOc493.png-wh_50

7、到internet测试机上查看日志,发现访问者不是192.168.1.7,而是173.16.16.1就对了

cat  /usr/local/httpd/logs/access_log

wKiom1f4q0CzfliEAABUm7B3vA4618.jpg-wh_50

二、DNAT策略

DNAT策略与我们之前学习过的静态nat是一样的,可以一对一,也可以端口映射,主要目的是为了发布服务器。

1、实验环境和上一个实验一样

wKiom1f4jc_iM_jYAAAb0-KeNeo961.png-wh_50

2、在网关服务器上执行DNAT命令

wKioL1f4jfvhxXG0AAArM_kjRhc747.png-wh_50

3、在internet测试机上访问:173.16.16.1,打开的网站是192.168.1.7

wKioL1f4jjHzempwAAA_KU-eL44838.jpg-wh_50

三、发布企业内部的ssh服务器

实验要求:2345端口对应网关服务器,2346端口对应网站服务器

1、实验环境:和上一个实验一样

wKiom1f4jlLAATO_AAAb0-KeNeo326.png-wh_50

2、在网关服务器和网站服务器分别开启2345和22端口的ssh

1)在网关服务器开启2345(vim /etc/ssh/sshd_config)

wKioL1f4jmmheX3jAAAgjAgayW0289.jpg-wh_50

2)网站服务器只需要开启sshd服务即可,默认端口就是22

2、在网关服务器上设置DNAT策略

wKioL1f4jpzhj4ucAAAr_ZWjPdU456.png

3、在internet测试机上进行ssh测试

wKiom1f4juuwssYLAAAfBtreGpo193.png-wh_50

使用ssh  -p  2345 root@173.16.16.1连接上的是网关服务器

wKioL1f4jwCzSF2UAADXiFuoFwA099.jpg-wh_50

使用ssh -p root@173.16.16.1连接上的是网站服务器

wKiom1f4jxfh1NIGAADFFgqUol4537.jpg-wh_50

四、规则的导入、导出

前言:备份可以把配置过的防火墙规则存储到一个位置,当更换防火墙或者规则出错的情况下,可以迅速恢复。

1、执行iptables-save命令导出linux防火墙规则。

例如:

1)在网站服务器上查看防火墙规则

wKiom1f4nLyAMobFAAEfdV5Nvm0111.jpg-wh_50

2)然后执行备份

wKiom1f4nMvin6WZAAAe6mDQEsw034.png-wh_50

3)把网站服务器上的规则全部删除

wKioL1f4nNzwmjKUAAA789n_xAA973.png-wh_50

4)执行iptables-resore命令恢复,恢复之后查看规则已经还原。

wKiom1f4nPGA4zeuAACvSxNoH0Q810.jpg-wh_50

2、使用iptables服务备份恢复防火墙规则

把iptables-save的备份存储到/etc/sysconfig/iptables,然后就可以通过iptables服务快速恢复,每次开机后就自动重建。如果想恢复规则的时候,就直接重新启动iptables服务即可。

1)执行下面的命令把规则存储到服务文件中

wKiom1f4nS3DZ6Z1AAAsnIlxOR4870.png-wh_50

2)然后把防火墙规则删除

wKiom1f4nT-AWdzlAACwe9at9j0998.jpg-wh_50

3)执行service iptables  restart就可以恢复规则

wKiom1f4nVTAizNaAACw0QyKCzE442.jpg-wh_50

4)如果想清空规则的时候,除了执行iptables -F,也可以停止防火墙服务。

五、使用防火墙脚本

使用脚本可以快速部署防火墙规则,当需要配置多台防火墙的时候,使用脚本可以快速生成规则,提高工作效率。

例如:将output链中的默认策略设置为允许,不添加其他规则,将input链的默认策略设置为拒绝,只放行对个别服务的访问,以及响应本机访问请求的数据包。

1)Vi /opt/myipfw.hostonly

wKioL1f4nWqQwxo5AABGcRF8ZSY457.png-wh_50

2)执行脚本

wKiom1f4nXnT_dcrAAAuv41JqTY145.png-wh_50

3)查看规则

wKioL1f4nYijnzfPAABF0yXjq5M894.png-wh_50

综合实战:

实验环境:

wKioL1f4n8fgGpYDAACcKvBJZmQ581.jpg-wh_50

需求描述:

使用SNAT策略实现共享上网

使用DNAT策略发布Web服务、SSH服务

实现思路:

注意清空原有防火墙规则

正确准备好实验环境,网关中打开IP转发

正确设置SNAT、DNAT规则

一、准备实验环境

1、正确配置各主机的网络参数(ip地址,子网掩码)

2、网段192.168.1.0/24中的主机将默认网关设为192.168.1.1

3、在网站服务器192.168.1.7上添加测试账号wzadm,启用web服务,ssh服务

4、在Internet测试机173.16.16.16中启用web服务,去掉默认网关设置

二、配置Linux网关服务器

1、打开路由转发功能

wKioL1f4qEKi13aPAAAIC3TdOv4027.png-wh_50

2、添加SNAT策略,使局域网段192.168.1.0/24能上网

wKiom1f4qFvTOplzAAAyN2ZzhrQ551.png

3、添加DNAT策略,使用公网地址173.16.16.1、端口80,发布内网主机192.168.1.7中的web服务

wKioL1f4qIWT3BspAAAqxbOlj_0473.png

4、添加DNAT策略,使用公网地址173.16.16.1、端口2222,发布内网主机192.168.1.7中的OpenSSH服务

wKioL1f4qMGTa_B_AAAq3ya9AgI600.png

三、验证实验效果

1、在网站服务器192.168.1.7中,能够访问173.16.16.16,并且查看主机173.16.16.16的web访问日志时,所记录的客户机是173.16.16.1

wKiom1f4qbrg_zsfAAAjYrBN4L4995.png-wh_50

wKioL1f4qcnxbif9AABUm7B3vA4089.jpg-wh_50

2、在Internet测试机173.16.16.16中,能够访问173.16.16.1,显示为网站服务器192.168.1.7中的网页

wKioL1f4qeLhtmq1AAAlCN8G-6g617.png-wh_50

3、在Internet测试机173.16.16.16中,能够通过173.16.16.1的2222端口进行SSH远程登录,以网站服务器192.168.1.7中的wzadm用户进行验证,登录后查看当前ip应该是192.168.1.7


谢谢观看,希望能真心的帮到您!

weixin_33882443
关注
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
iptables防火墙详解(
weixin_30725467的博客
09-10 252
-- 基于状态的iptables 如果按照tcp/ip来划分连接状态,有11种之多(课后可以自己去读一下相关知识) 但iptables里只有4种状态;ESTABLISHED、NEW、RELATED及INVALID 这两个分类是两个不相干的定义。例如在TCP/IP标准描述下UDP及ICMP数据包是没有连接状态的,但在state模块的描述下,任何数据包都有连接状态。 1、ESTABL...
Linux防火墙iptables
tianchaoshangguo的博客
08-10 552
Linux防火墙iptables) 上一篇文章我们说了一些iptables/netfilter的基础知识,本文我们来介绍一下iptables的规则编写。Iptables的规则可以概括的分为两个方面:1、报文的匹配条件;2、匹配到后的处理动作。其中匹配条件分为基本匹配条件和扩展匹配条件,处理动作分为内建处理机制和自定义处理机制。这里需要注意的一点是,自定义处理机制(自定义链)不在内核中所以报文...
Iptables防火墙
weixin_33851429的博客
06-16 69
Iptables防火墙)重点:ØSNAT策略的用途、用法ØDNAT策略的用途、用法7.1 SNAT策略及应用 SNAT(source network address translation,源地址转换)是linux中防火墙的一种地址转换,也是liptables命令中的一种数据包控制类型,其作用是根据指定的条件修改数据包源IP地址7.1.1 SNAT策略概述通过在网关中应用...
linux网关及安全应用-第3章(配置iptables防火墙)理论课教案-焦可伟.docx
12-23
linux网关及安全应用-第3章(配置iptables防火墙)理论课教案-焦可伟.docx
深入解析iptables防火墙配置与实战应用
最新发布
10-11
内容概要:《iptables 防火墙应用与技术》详细介绍了iptables作为一种高效的Linux内置防火墙的功能、概念以及具体的操作方法。内容涵盖了iptables的不同应用场景、各种常见网络攻击防御(如SYN Flood攻击)、实用...
CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法
09-15
主要介绍了CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法,需要的朋友可以参考下
iptables 防火墙之主机防火墙(2)
weixin_34247032的博客
05-02 71
承接上一篇博文,这里讲述主机防火墙高级部分,一个内容一个示例,希望大家明白!一、显式扩展:必须显式地指明使用的扩展模块进行的扩展; 使用帮助: CentOS 6: man iptables CentOS 7: man iptables-extensions1、multiport扩展以离散方式定义多端口匹配;最多指定15个端口;[!] --source-ports,...
Linux中的防火墙iptables
Sparks _Fly
03-25 179
企业7之前的版本没有firewalld这个软件 只有企业7之后才有,3.x的内核以上才有,之前的版本只有iptables软件 准备工作:将firewalld关闭锁定,打开iptables systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl unmask iptables sy...
配置iptables防火墙
weixin_34206899的博客
03-04 57
配置iptables防火墙)DNAT策略的应用1、清空所有表的防火墙[root@s2 ~]# iptables -F[root@s2 ~]# iptables -t nat -F[root@s2 ~]# iptables -t raw -F[root@s2 ~]# iptables -t mangle -F2、在网关防火墙上 两块网卡[root@s2 ~]# ifconf...
linux中的防火墙管理(2)--iptables
qq_34373016的博客
12-06 536
iptables 一 相关概念:       防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。netfilter 组件也称为内核空间(kern
iptables防火墙的启动、停止以及开启关闭端口的操作
热门推荐
猴子年华的专栏
05-25 10万+
CentOS 配置防火墙操作实例(启、停、开、闭端口): 注:防火墙的基本操作命令: 查询防火墙状态    :    [root@localhost ~]# service   iptables status 停止防火墙   :    [root@localhost ~]# service   iptables stop 启动防火墙   :    [root@localhost ~]# servi...
iptables实现网络防火墙()——SNAT与DNAT
Eumenides_s的博客
10-23 880
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。    在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的
分享:centos关闭iptables防火墙的方法
jbxue123的专栏
09-19 1302
本文介绍下,在centos系统下,关闭iptables防火墙的方法。有需要的朋友,作个参考。 在centos下关闭iptables,即系统自带的防火墙,相当简单的。 查看防火墙:   复制代码代码示例: #/etc/init.d/iptables status 关闭防火墙服务:  复制代码代码示例: /etc/init.d/iptables stop
Linux防火墙iptables详解()--参数指令
二总的猫
06-27 2771
Linux防火墙iptables详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值