iptables网关防火墙小项目的实施应用,实战脚本...

最新推荐文章于 2021-03-20 19:49:12 发布
最新推荐文章于 2021-03-20 19:49:12 发布
阅读量291 收藏
点赞数
分类专栏: 实用脚本合集 文章标签: iptables 网关防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42867972/article/details/82316696
版权

网关防火墙项目效果图
网关防火墙项目效果图
网关防火墙的需求及实践
1、实现 相关的 SNAT 的功能,代理公司内部的客户机上网,;但是限制在上班期间访问京东淘宝和天猫网站
2、实现 DNAT 功能 。将内部服务器 172.16.10.10 映射到网关,允许外部主机访问到公司提供的 web 服务
3、内部 的 10.10.1.0 网段主机, 只能通过网关访问内部服务器 web 服务, 但是管理员 10.10.1.10 不受限制,并绑定MAC
4、网关主机本身,仅允许 内部 IP 访问自己的 web服务,仅允许 10.1.1.10 ssh 连接自己
5、防御 外部 主机,主动 连接 内部主机, 仅仅让外部主机能够 访问 172.16.100.99 的 web 服务

[root@deng- order]# vim iptables.sh 
#!/bin/bash
admin="10.10.1.100"
mac="00:0c:29:cb:74:f8"
amstart="01:00"
amstop="04:00"
pmstart="06:00"
pmstop="10:00"

###########清空规则##############
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -Z
iptables -t nat -Z

############# 全局策略  ################
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P FORWARD ACCEPT

############# SNAT 实现公司内部上网 ##############
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE

############# DNAT 实现外网访问公司web服务 ###############
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -d 192.168.10.10 -j DNAT --to 172.16.10.10

############### 允许访问网关的web服务  ###############
iptables -t filter -A INPUT -p tcp --dport 80 -i ens38,ens39 -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT

############## 允许 管理员 远程管理 httpd service  ###################
iptables -t filter -A INPUT -p tcp --dport 22 -s $admin -m mac --mac-source $mac -j ACCEPT 

#################### DROP new、invalid ;ACCEPT established、related  #############
iptables -t filter -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i ens38  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i ens38  -p udp --dport 53 -j ACCEPT 

############ 允许访问公司内部的web 允许管理员的任何操作 ####################
iptables -t filter -A FORWARD -i ens38 -o ens39 -s $admin -m mac --mac-source $mac -j ACCEPT 
iptables -t filter -A FORWARD -i ens38 -o ens39 -p tcp ! --dport 80 -j REJECT

###################### 在上班时间拒绝访问京东、淘宝、天猫  ######################
iptables -t filter -A FORWARD -o ens33 -m time --timestart $amstart --timestop $amstop -m string --algo kmp --string "taobao"  -j DROP
iptables -t filter -A FORWARD -o ens33 -m time --timestart $pmstart --timestop $pmstop -m string --algo kmp --string "taobao" -j DROP
iptables -t filter -A FORWARD -o ens33 -m time --timestart $amstart --timestop $amstop -m string --algo kmp --string "jd"  -j DROP
iptables -t filter -A FORWARD -o ens33 -m time --timestart $pmstart --timestop $pmstop -m string --algo kmp --string "jd" -j DROP
iptables -t filter -A FORWARD -o ens33 -m time --timestart $amstart --timestop $amstop -m string --algo kmp --string "tmall"  -j DROP
iptables -t filter -A FORWARD -o ens33 -m time --timestart $pmstart --timestop $pmstop -m string --algo kmp --string "tmall" -j DROP

########################## 防止黑客向外发送数据  ################################
iptables -t filter -A OUTPUT -p tcp --sport 31337:31340 -j DROP
iptables -t filter -A OUTPUT -p tcp --sport 31337:31340 -j DROP

####################### 保存规制  ####################
service iptables save

########## 保存前要做的步骤,不做此步骤是无法进行保存工作  ###########
#cp  /usr/libexec/iptables/iptables.init     /etc/rc.d/init.d/iptables

上述就是模仿公司的内部的防火墙所做的小项目需求以及实践应用,通过这个小项目来熟悉防火墙的用途。
具体的防火墙知识点请参考一下连接内容…
https://blog.csdn.net/weixin_42867972/article/details/82260479

ぃ小小宇宙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防火墙实现SNAT与DNAT
悦分享
07-21 753
vi /etc/sysctl.conf 将 net.ipv4.ip_forward=0 修改成 net.ipv4.ip_forward=1。编辑后使用命令让配置马上生效 sysctl -p。开启目标服务器/中转服务器端口**(本例仅限于http服务) python -m SimpleHTTPServer 1024。查询端口**状态 netstat -tupln。
【9.26】日常运维——iptables应用
张森纳的博客
09-25 177
10.16/10.17/10.18 iptables nat表应用 10.19 iptables规则备份和恢复
iptables中SNAT、DNAT与MASQURADE的区别以及端口转发REDIRCT
weixin_47966341的博客
09-06 1603
iptables中的表nat 该表主要用于各种灵活的网络地址和端口转换。地址转换分为SANT(source network address translation)源地址转换和DNAT(destination network address translation)目标地址转换;端口转换则为REDIRCT。 在任何一个IP数据包的报头中,都会有Source IP Address与Destination IP Address这两个字段,数据包所经过的路由器也是根据这两个字段是判定数据包是由什么地方发过来的,它
Linux系统的iptables防火墙、SNAT、DNAT原理与设置规则
IHBOS的博客
03-20 682
这里写目录标题iptables概述二级目录三级目录 iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 二级目录 三级目录 ...
带你了解iptables防火墙项目
weixin_50345059的博客
11-23 159
iptables防火墙SNAT和DNAT策略概述SNATDNAT一个小项目 SNAT和DNAT策略概述 SNAT 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 实现方法: 1)主机、服务器配置正确的ip地址及网关 2)网关服务器开启路由功能 DNAT 原理:修改数据包中的目标IP地址 作用:将内网中服务器进行发布 配置在nat表中的PREROUTING链上 实现方法: a、正确配置ip地址及网关 b、开启网关服务器的路由功能功 c、进行DNA
iptables(四)iptables案例实战
wzj_110的博客
10-01 708
iptables的CURD (1)查看 iptables [-t tables] [-L] [-nv] -t :后面接'table',例如 nat 或 filter,若省略此项目,则使用'默认的 filter' -L :列出-->'list''某个 table 的所有链'或某个'链的规则' -n :以'数字-->number的形式'直接显示 IP,速度会快很多 -v :列出'更多的信息-->verbose',包括通过该规则的数据包总位数、相关的网络接口等 --------..
Centos6.3利用iptables配置网关防火墙
weixin_33951761的博客
06-18 128
系统环境:centos6.3 x64IPTABLES:系统自带一.部署环境:1.关闭SELINUX# setenforce 0# vi /etc/sysconfig/selinux---------------SELINUX=disabled---------------2.清空默认策略并重启iptables# iptables -t NAT -F# iptables -F#...
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
Linux防火墙iptables的一个实例应用.pdf
09-06
Linux防火墙iptables的一个实例应用.pdf
Linux-iptables防火墙的分布式策略应用研究.pdf
08-11
#资源达人分享计划#
安全的Web主机iptables防火墙脚本.docx
10-31
安全的Web主机iptables防火墙脚本.docx
使用iptables进行NAT转发
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables配置——NAT地址转换
StamHe的专栏
01-29 3380
iptables配置——NAT地址转换http://hi.baidu.com/gaocher/blog/item/fe66d0ee08940a3727979100.html  iptables nat 原理同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则把从外来的访问重定向到其他的机子上,比如
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -> Tables -&g...
iptables实现字符串匹配,URL过滤,安全策略
jk110333的专栏
07-03 4万+
通过string匹配域名来过滤,范例如下: iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP iptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROP 这样就无法访问与QQ相关的业务了,但是代理好像还是可以 系统要
linux-iptables nat设置路由转换
Coohx
04-01 1万+
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映射。这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚,现在我在这里解释一下
linux网络——iptables网关
abcxy2161的博客
07-12 1645
概述最近做关WiFi家庭网关项目,接触到很多新的知识,本文对linux的iptables网关中的NAT转换、DMZ、端口映射和端口触发等概念进行总结linux iptableslinux iptables是linux2.6内核以后使用的一套网络工具,对其进行合理的配置,可实现防火墙、NAT转换等网关功能好,那么iptables怎么配置,这些配置是如何实现的呢iptables配置方法应用层的ipta
iptables 防火墙策略
xixlxl的博客
02-27 3483
##一.iptables iptable是用来设置,维护检查内核的ip包过滤规则的,就是规则设置工具。配置防火墙的主要工作就是添加,修改删除一些规则,规则就是网络管理员预定义的一些条件。 三表五链: filter表:过滤数据包,内核模板,含三个链INPUT,OUTPUT,FORWARD nat表: 非内核模板主要作网络地址转换,含三个链,PREROUTING,POSTROUTIN...
yum remove iptables.x86_64会影响防火墙规则嘛
最新发布
06-08
执行 "yum remove iptables.x86_64" 命令会卸载 iptables 软件包,但不会影响已经配置好的防火墙规则。但是,如果您在之后需要使用 iptables 命令对防火墙规则进行管理,则需要重新安装 iptables 软件包。因此,在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值