Iptables+l7+squid的应用

最新推荐文章于 2021-05-16 07:14:25 发布
最新推荐文章于 2021-05-16 07:14:25 发布
阅读量105 收藏
点赞数
文章标签: 开发工具 网络 运维
原文链接:https://yq.aliyun.com/articles/480483
版权

 Iptables+l7+squid的应用

    Iptables是网络层防火墙 ,主要用于网络层、传输层的过滤,对应用层的过滤较少,但是支持的应用比较多,如NAT转换

    Layer7  能使iptables基于应用层过滤

    Squid 是一个应用层代理服务器,不仅可以过滤网络层、还可以过滤应用层,就是支持的应用比较少。

    所以iptables+l7+squid不愧是一个完美组合。下面就通过一个小案例来说明一下

     一个公司有两个部门和一个经理部,要求对他们在上班时间(周一到周六 08:00--20:00)做如下的上网限制:

技术部:可以使用ftp来上传和下载资料 ,不允许使用QQ聊天,不允许浏览网页,不允许使用迅雷下载东西。

市场部:可以浏览网页,但不允许访问一些非法站点,如sina ,也不允许使用迅雷,和QQ聊天,不允许使用pplive,不允许浏览图片,每个用户的最大连接数为5

经理办  http qq 都可以使用

下班后,没用任何限制。

公司还要发布自己的www服务器

Linux防火墙的eth0网卡连接内网,eth1网卡连接外网,eth2网卡连接DMZ

Eth0  192.168.101.166

Eth1  192.168.2.253

Eth2  192.168.3.253

技术部ip范围  192.168.2.1----192.168.2.100

市场部ip范围  192.168.2.101-----192.168.2.200

经理办ip范围  192.168.2.201---192.168.2.210

www服务器ip地址为 192.168.3.66

拓扑图就不画了

分析:

ftp的控制我们使用iptables ,对于QQ的聊天、迅雷下载控制我们用L7控制,对于网页浏览、禁止浏览非法站点,图片信息我们用squid控制。

1、首先开启数据包转发功能
vim /etc/sysctl.conf  

net.ipv4.ip_forward = 1  --修改为1即开启转发

sysctl -p              --立即生效

2、设置默认拒绝所用

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

3、配置SNAT,使内网用户可以上网

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE 

4、控制

(1) 允许ftp

iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.1-192.168.2.100 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --dport 21 -j ACCEPT

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

--允许转发的通过

(2)禁用QQ 、迅雷(不写规则也是可以的,默认是拒绝的,加强一下)

iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.1-192.168.2.200 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto qq  -j DROP

iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.1-192.168.2.200 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto xunlei  -j DROP

(3)squid的控制

Vim  /etc/squid/squid.conf  修改和添加如下几行如下:

919   http_port 3128  transparent

2994  visible_hostname 192.168.2.253

4134  dns_nameservers 222.88.88.88 222.85.85.85

重启squid,以上是squid的基本配置,下面的是控制配置

(4) iptables控制

iptables -t nat -A PREROUTING  -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri  -m connlimit --connlimit-above 5  --connlimit-mask 32 -p tcp --dport 80 -j REDIRECT --to-port 3128 

--80端口重定上到3128,来实现透明代理

iptables -t filter -A OUTPUT -m state  --state EASTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.2.101-192.168.2.210 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p udp --dport 53 -j MASQUERADE --DNS解析进行NAT(这一条规则好像没用流量匹配)

iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.101-192.168.2.210 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p udp --dport 53 -j ACCEPT  --

iptables -t filter -A OUTPUT -p tcp --dport 80 -s 192.168.101.166 -j ACCEPT

iptables -A INPUT -m state --state  ESTABLISHED -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT  --允许squid代理的查询

iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.101-192.168.2.200 -m layer7 --l7proto pplive -j DROP

市场部的squid控制

重启squid

iptables -t filter -R FORWARD 8  -m iprange --src-range 192.168.2.201-192.168.2.210 -o eth1 -j ACCEPT

服务器发布

iptables -t nat -A POSTROUTING -s 192.168.3.66/32 -o eth1 -j SNAT --to 192.168.101.166

5)下班后无限制

iptables -t filter -A  FORWARD   -m iprange --src-range 192.168.2.201-192.168.2.210 -o eth1 -j ACCEPT

(星期六、日不允许的是。)功能以实现!!!!



本文转自 abc16810 51CTO博客,原文链接:http://blog.51cto.com/abc16810/1097184

weixin_34128501
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
squid代理服务器、iptables防火墙(安全)的设置和各自的功能.wps
10-23
squid代理服务器、iptables防火墙(安全)的设置和各自的功能
iptables+squid透明代理+防火墙终极配置
weixin_33704591的博客
03-27 173
==================================================man.chinaunix.net,左下角有iptables的man,仔细看看。系统:CentOS4.2,三块网卡,两个内网,一个外网。双至强,2GHz,2GB内存。服务器主要开了squid,sshd,其他的一律闭掉了。eth0:192.168.100.1eth1:192.16...
linux+squid+iptables企业方案
wayne1981的专栏
04-21 1072
 01、允许部分人可以访问Internet,但是不能下载; 02、允许部分人可以下载; 03、允许部分人完全没有限制; 04、允许全体人员在固定时间,有部分限制,不在此时间之内,撤除限制; 05、不允许下载的特定url字符:exe/zip等等; 06、不允许访问特定的站点; 07、透明代理与用户认证共存; 08、允许部分人员只能浏览指定网站; 09、只允许收发邮件(所有域名邮件(smtp,pop3
Iptables+L7+Squid实现完善的软件防火墙---太牛逼了
weixin_34062469的博客
08-10 274
Iptables是用linux操作系统作为一个软件防火墙做到宏观上的保护,数据包要经过防火墙首先来到tcp/ip协议栈,防火墙通过内核的一些机制来做到对数据的过滤,内核里有这样五个函数INPUT、OUTPUT、FORWARD、POSTROUTING、PREROUTING,内核没办法直接修改我们通过使用iptables用户空间工具来对这五个函数下发规则,从而达到对流量的过滤,五...
Iptables+L7+Squid
weixin_34128534的博客
05-19 103
小编:现在的企业网应用中,有些业务和一些重要部门管理人员对于网络的带宽具有较高的要求,最重要的就是速度的稳定性。这就要求我们的网络管理员对于企业网中的带宽进行合理分配,特别是一些基于P2P的软件和应用进行限制,可以很好的解决带宽的压力,满足特殊用户对于网速的需求。今天我们就一起来搭建一种基于Iptables之上,并结合Layer7七层过滤模块和Squid代理来实现对于特殊应用...
透明防火墙架设的完全攻略(bridge+iptablessquid)
08-10
绍透明防火墙架设的完全攻略(bridge+iptablessquid)
Snort+Iptables+Guardian构建主动防火墙.zip
最新发布
04-16
Snort+Iptables+Guardian构建主动防火墙.zip
运维方向,LVS+iptables+shell+ansbles
04-13
运维方向,LVS+iptables+shell+ansbles
linux服务器下通过iptables+Denyhost抵御暴力破解的配置方法
09-15
主要介绍了linux服务器下通过iptables + Denyhost抵御暴力破解的方法,需要的朋友可以参考下
Snort+Iptables+Guardian构建主动防火墙.pdf.zip
04-16
Snort+Iptables+Guardian构建主动防火墙.pdf.zip
iptables+squid (一)
biaoming
12-21 334
Linux 目前已经逐步成为网络的同义词。它可以在办公环境或日常家庭中作为文件服务器、打印服务器、 邮件服务器以及应用软件服务器来使用, 并且逐渐作为代理服务器来使用。 一台代理服务器可以通过一个Internet连接在同一时间为不同的用户提供Internet访问服务。好的代理服 务器同时还为访问请求提供缓存服务,这样当一个本地访问请求到达时,代理服务器会先在缓存记录里查 找有无相同的请求,...
利用iptables+l7-filter+opendpi封QQ和迅雷
热门推荐
流云随风
09-21 1万+
利用iptables+l7-filter+opendpi封QQ和迅雷 作者:刘运锋                                            时间:2011-09-21 1、            前言 参加2011架构师大会,有幸聆听白金大师的
linux iptables L7-filter
weixin_33827590的博客
02-27 455
一、L7-filter介绍 TCP/IP模块总共包含四层,在L7-filter之前,netfilter可以过滤前三层数据,分别为网络接口层,网络层,传输层,具体实现方法如下: Network access layer: iptables -A CHAIN -m mac --mac-source …"Internet: iptables -A CHAIN -s IP_...
linux l7,linux iptables L7-filter
weixin_34312149的博客
05-16 263
一、L7-filter介绍TCP/IP模块总共包含四层,在L7-filter之前,netfilter可以过滤前三层数据,分别为网络接口层,网络层,传输层,具体实现方法如下:Network access layer: iptables -A CHAIN -m mac --mac-source …"Internet: iptables -A CHAIN -s IP_ADDRESS …"Transpor...
iptables+l7-filter 封QQ MSN和P2P
eydwyz的专栏
11-26 2397
在网关上如果要封杀 QQ、MSN 或者 P2P 等软件的通讯,单纯用 iptables 逐一封服务端IP或者封通讯端口都不是很好的办法,最简单的方法是使用L7-filter。              L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的
Iptables+L7过滤
weixin_34232617的博客
10-11 114
目标功能: 为iptables增加layer7补丁,实现应用层过滤。 一、重新编译内核 1、合并kernel+layer7补丁 [root@localhost ~]#tar jxvf linux-2.6.25.19.tar.gz2 -C /usr/src/ [root@localhost ~]#tar zxvf netfilter-layer7...
Iptables之layer7 -- l7及利用iptables的recent模块来抵御DOS攻击
Celeste7777的博客
07-20 1106
Iptables之layer7 – l7 1、给内核打补丁,并重新编译内核 2、给iptables源码打补丁,并重新编译iptables 3、安装l7proto的Kernel Patch 利用iptables的recent模块来抵御DOS攻击 配置防火墙放行http,sshd,ftp服务请求回应包
linux打内核补丁命令,更新内核在iptables上打l7补丁
weixin_42450002的博客
05-05 187
iptables增加layer7补丁(Linux2.6.25内核)系统环境:RHEL5 [ 2.6.18-8.el5xen ]目标功能:为iptables增加layer7补丁,实现应用层过滤。一、重新编译内核1、合并kernel+layer7补丁shell> tar jxvf linux-2.6.25.19.tar.gz2 -C /usr/src/shell> tar zxvf ne...
iptables+黑名单
10-23
iptables是Linux系统中的一个强大的防火墙工具,可以用于过滤网络数据包,实现网络安全控制。黑名单是一种常见的网络安全控制手段,可以通过将某些IP地址或者端口列入黑名单,来限制这些IP地址或者端口的访问。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值