防火墙规则编写
系统的INPUT和OUTPUT默认策略为DROP;
试验环境搭建
- 内部主机IP:10.0.1.22
- 外网主机IP:内网IP:10.0.1.1 外网IP:192.168.23.99
- 公网主机IP:公网IP:192.168.23.100
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
- 方法一:在内网web服务器上写过滤规则
- (1)
iptables -P INPUT DROP
: 设置INPUT链的默认策略为DROP - (2)
iptables -P OUTPUT DROP
: 设置OUTPUT链的默认策略为DROP - (3)
iptables -A OUTPUT -s 10.0.1.22 -p tcp --sport 80 -m string --algo kmp ! --string "admin" -m state --state ESTABLISHED -j ACCEPT
: web服务器包含了admin字符串的页面不允许访问,web服务器仅允许响应报文离开本机 - (4)
iptables -A INPUT -d 10.0.1.22 -p tcp -m time ! --weekdays 1 -m limit --limit 100/seco
- (1)