1、拒绝所有主机ping当前的主机。
[root@centos8 ~]# iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
2.本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机。
本机为centos8:10.0.0.8
[root@centos8 ~]# iptables -A INPUT -d 10.0.0.8 -p tcp --dport 80 -j REJECT
#本机去获取其他主机的http服务
[root@centos8 ~]# curl 10.0.0.7
centos7
#其他主机去获取本机的http服务
[root@centos7 ~]# curl 10.0.0.8
curl: (7) Failed connect to 10.0.0.8:80; Connection refused
3、当我们发现有 ip 恶意攻击我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以添加connlimit模块来实现对最大并发得控制。
#如果并发数量同时达到10的时候,就拒绝访问
[root@centos8 ~]# iptables -A INPUT -d 10.0.0.8 -p tcp --dport 22 -m connlimit --connlimit-above 10 -j REJECT
4、实践题
实验前提需求
主机名 | IP地址 | 充当角色 |
---|---|---|
A7 | 192.168.1.128(仅主机)eth0 | 互联网主机 |
A8 | 192.168.1.129(仅主机)/eth1 10.0.0.8(NAT)/eth0 NAT设备他有一个是链接外网的ip有一个是链接内网的ip。 | 防火墙NAT设备 |
B8 | 10.0.0.18(NAT)eth0 | 局域网服务器 |
现在我在外地出差使用A7互联网主机,但是现在由于公司有业务需要我 ssh 链接到内网、这时候我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网。请写出实现过程:
#防火墙设备
[root@firewall ~]#vim /etc/sysctl.conf
net.ipv4.ip_forward=1
[root@firewall ~]#sysctl -p
[root@firewall ~]# iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18:22
[root@internet ~]ssh 192.168.1.129
用公网A7机器–192.168.1.128–进行测试。结果如下