iptables防火墙----filter表的学习-FORWARD

最新推荐文章于 2023-08-02 20:09:05 发布
最新推荐文章于 2023-08-02 20:09:05 发布
阅读量862 收藏 1
点赞数
文章标签: 学习 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69899223/article/details/125260582
版权
本文介绍了如何使用iptables防火墙在proxy服务器上配置FORWARD链,以保护web服务器并管理不同网段之间的网络通信。首先确保路由转发功能开启,然后设置默认拒绝所有数据包,接着允许特定网段间的数据包通过,并开放特定端口如ICMP、22、80、443,最后拒绝特定IP范围的访问,确保网络安全。
摘要由CSDN通过智能技术生成

iptables防火墙----filter表的学习-FORWARD

• client1:eth0 -> 192.168.4.10/24 网关:192.168.4.11
• proxy:eth0 -> 192.168.4.11/24,eth1 -> 192.168.2.11/24
• web1:eth1 -> 192.168.2.100/24 网关:192.168.2.1

为 192.168.4.10和192.168.2.100配置网关
 [root@client1 ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.11
 [root@client1 ~]# ifdown eth0; ifup eth0

 [root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.11
 [root@web1 ~]# ifdown eth1; ifup eth1

在中间节点node1上打开路由转发功能

 [root@proxy ~]# sysctl -a | grep ip_forward
 [root@proxy ~]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf 
  [root@proxy ~]# sysctl -p

client和server已经可以通信

 [root@client1 ~]# ping -c2 192.168.2.100
在web1上安装httpd服务
 [root@web1 ~]# yum install -y httpd
[root@web1 ~]# systemctl start httpd
在客户端访问web服务,可以访问
[root@client1 ~]# curl http://192.168.2.100/

配置FORWARD链

• 要求:在proxy上配置防火墙,保护web1

  1. 默认拒绝所有数据包通过
  2. 从web1所在网段发往client1所在网段的包全部允许
  3. 从client1所在网段到web1所在网段,允许icmp,允许22、80、443端口通过
默认拒绝所有数据包通过

[root@proxy ~]# iptables -P FORWARD DROP

源地址是192.168.2.0/24,目标地址是192.168.4.0/24的包,放行
  [root@proxy ~]# iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.4.0/24 -j ACCEPT
从client到web1,允许icmp
   [root@proxy ~]# iptables -A FORWARD -s 192.168.4.0/24 -d 192.168.2.0/24 -p icmp -j ACCEPT
client和web1已经可以ping通了
    [root@client ~]# [root@client ~]#  ping -c2 192.168.2.100
     PING 192.168.2.100 (192.168.2.100) 56(84) bytes of data.
     64 bytes from 192.168.2.100: icmp_seq=1 ttl=63 time=0.663 ms
     64 bytes from 192.168.2.100: icmp_seq=2 ttl=63 time=0.986 ms
允许从client1访问server1的22、80、443,100-120端口范围

-m是引入扩展模块,multiport多端口

  [root@proxy ~]#  iptables -A FORWARD -p tcp -m multiport --dport 22,80,443,100:120 -s 192.168.4.0/24 -j ACCEPT
  [root@proxy ~]# iptables -nL FORWARD
  Chain FORWARD (policy DROP)
  target     prot opt source               destination
  ACCEPT     all  --  192.168.2.0/24       192.168.4.0/24
  ACCEPT     icmp --  192.168.4.0/24       192.168.2.0/24
  ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0            multiport dports 22,80,443,100:120

拒绝192.168.4.10-192.168.4.20访问192.168.2.50-192.168.2.150
-m是引入扩展模块,src-range是源地址范围,dst-range目标地址范围
     [root@proxy ~]# iptables -I FORWARD -m iprange --src-range 192.168.4.10-192.168.4.20 --dst-range 192.168.2.50-192.168.2.150 -j REJECT
吉730
关注
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
iptables 可以在四个filter、nat、mangle、raw)和五个链(PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)中设置规则,以实现复杂的网络策略。 **dnsmasq 知识点:** dnsmasq 是一个轻量级的 DNS 和 DHCP...
iptablesforward转发
weixin_47274990的博客
11-27 1万+
iptablesforward转发1、网络防火墙2、iptablesFORWARD转发实例 1、网络防火墙 网络防火墙处于网络入口的边缘,针对网络入口进行防护,针对整个网络入口后面的局域网。 作用: 当外部网络主机与内部网络主机互相进行通讯时,都要经过iptables所在的主机,由iptables所在的主机进行 “过滤并转发”,这就是防火墙的主要工作。 但是这又跟forward链有什么关系呢? 网络防火墙的主要职责是"过滤并转发",在五链中,只有INPUT,OUTPUT和FORWARD有fil
Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 3405
iptables模块的使用 FORWARD转发
iptables防火墙、NAT
我不是程序猿的博客
03-17 2038
iptables iptables有多种功能,每一种功能都用一张来实现 最常用的功能是防火墙和NAT 从RHEL7开始,默认的防火墙为firewalld,但是它的底层仍然调用iptables 安装iptables服务 # 关闭firewalld [root@node1 ~]# systemctl stop firewalld [root@node1 ~]# systemctl disable firewalld # 安装iptables [root@node1 ~]# yum install
3、iptablesFORWARD
LiuWei
05-07 3390
文章目录1.FORWARD链的含义2.什么时候会用到FORWARD链3.实例 1.FORWARD链的含义 1.代Linux内核的路由和数据包转发 2.代IPTABLES防⽕墙中FORWARD功能(FORWARD链) 2.什么时候会用到FORWARDFORWARD链 只会跟需要⽤到 Linux内核转发功能的 数据包 才会发⽣关系 3.实例 同网段的一台机器ping另外一台机器,会关系到FORWARD链码? 答:这个和FORWARD链没有关系,同网段下走的是路由 如果是分属两个不同网段
iptablesforward
weixin_33859504的博客
04-01 5637
1. forward链的作用 2. 实现 1. forward链的作用   根据数据报文的流向,若数据报文是由本机转发的则会经由以下几个链prerouting --> forward --> postrouting。  forward实现的是数据转发的功能,当数据报文经过本机时,网卡接收数据报文至缓冲区,内核读取报文ip首部,发现报文不是送到本机时(目的ip不是本机),由内核直接送到...
iptables-1.1.9指南中文版(PDF)
10-21
1. **滤波器**(filter):这是默认的,用于处理流入或流出系统的常规数据包。它包含INPUT、OUTPUT和FORWARD链,分别处理进入本机、从本机传出和通过本机的数据包。 2. **nat**(NAT):网络地址转换,用于...
iptables防火墙应用指南
05-31
### iptables防火墙应用指南 #### 1. iptables简介 **1.1 iptables防火墙简介** iptables是一款广泛应用于Unix/Linux系统的免费包过滤防火墙工具。它具有强大的功能和高度灵活性,能够精确控制流入、流出以及通过...
10.6: iptables防火墙filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
iptables 防火墙具有 4 个,分别是 filter 、nat 、raw 、mangle ,每个都有其特定的链,例如 INPUT 链、OUTPUT 链、FORWARD 链、PREROUTING 链、POSTROUTING 链等。 iptables 防火墙的基本管理包括关闭...
LINUXIPTABLES防火墙的基本使用教程
01-20
iptables有4种:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个可以配置多个链: * 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT * 对于nat来讲...
iptables防火墙介绍
小五
10-11 2600
iptables防火墙介绍使用 原理 5链 INPUT:入站规则 OUTPUT:出站规则 FORWARD:转发规则[软路由时应用] PREROUTING:路由前规则[软路由时应用] POSTROUTING:路由后规则[软路由时应用] 4 Filter过滤[设置允许或者和拒绝规则] Nat地址转换[内网ip转外网ip,外网ip转内网ip] Raw数据包跟踪[记录每个的连接] Mangle修改状态[修改包头] 命令的语法格式: Iptables [-t 名] 选项 [链名][条件][-j 目标操作]
iptables常用用法总结
congguanliu5887的博客
04-26 617
清除目前所有规则 iptables -F INPUT、OUTPUT、FORWARD 含义 INPUT 如果包的目标就是本机,则包直接进入INPUT链,再被本地正在等待该包的进程接 OUTPUT 两类包走OUTPUT,一类是INPUT入的包,一类是主机本身产生的包 FORWARD 如果包的目标不是本机,而是穿过本机的包,则进入FORWARD链,FORWARD既不走INPUT,也不走OUTPUT 允许通过tcp协议访问22端口,禁止访问除22端口以外的所有端口 iptables -A.
iptables防火墙
qq_43297415的博客
06-02 219
/注意参数的位置顺序,--line-numbers放在最后边,-n在L前。> 选项/链名/目标操作用大小写字母,其余都小写。//禁止本机在出方向上访问www.baidu.com的80端口。//拒绝所有IP访问本机的网卡1(10.10)的80端口。> 可以不指定链,默认为对应所有的链。//插入规则到filter的INPUT链的第2行。//删除iptables中INPUT链的第3条规则。> ACCEPT:允许通过/放行。//拒绝1.1访问本机的80。//默认为filter。//清空指定链的所有规则。
网络安全——防火墙详解
W981113的博客
01-16 1万+
什么是防火墙?路由策略和策略路由 在计算机中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成
iptables基础学习(一)
lailaiquququ11的博客
10-30 586
主要学习罗列一些简单的iptables简单基础知识
IptablesFORWARD转发链
热门推荐
周二也被占用
03-02 2万+
图有借鉴意义 本机路由转发的时候,才配置FORWARD转发链~! # iptables –A FORWARD –s 192.168.0.0/24 –j ACCEPT # iptables –A FORWARD –d 192.168.0.0/24 –j ACCEPT 上面只是打通了局域网通过此机的Forward的通道,也就是打通了局域网与外网的链路,实际上并起不到任何的作用,因
iptables防火墙filter控制、扩展匹配、使用iptables配置网络防火墙、NAT原理、配置SNAT
最新发布
m0_52686092的博客
08-02 623
I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则,原本位置上的规则将会往后移动一个顺位。-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则,顺序不变(1是位置)--dport 目的端口 例:iptables -A INPUT -p tcp --dport 22。--sport 源端口 例:iptables -A INPUT -p tcp --sport 22。
iptables网络防火墙(FORWARD链)初步实验
weixin_33974433的博客
04-13 1250
网络结构如下:A、B、C三台主机,A主机扮演外网访问角色;B主机打开核心转发,启用防火墙。两张网卡配置不同网段IP;C主机为内网HTTP服务器。以下为配置流程:本次实验使用2台虚拟机,一台物理机;主机A和主机B虚拟机网卡设置成VMnet31、打开主机B中的核心转发功能;#vi/etc/sysctl.conf 将net.ipv4.ip_forward值修改为1 ne...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值