前言
成都創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括新鄭網(wǎng)站建設(shè)、新鄭網(wǎng)站制作、新鄭網(wǎng)頁制作以及新鄭網(wǎng)絡(luò)營(yíng)銷策劃等�����。多年來�,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)��、行業(yè)經(jīng)驗(yàn)�、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)���、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案����,新鄭網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益�����。目前�,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到新鄭省份的部分城市,未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任�!
本文旨在復(fù)習(xí)iptables FORWARD表的相關(guān)知識(shí),構(gòu)建簡(jiǎn)易實(shí)驗(yàn)環(huán)境���,實(shí)現(xiàn)通過iptables構(gòu)建網(wǎng)絡(luò)防火墻����。
iptables實(shí)現(xiàn)的防火墻功能:
主機(jī)防火墻:服務(wù)范圍為當(dāng)前主機(jī)
網(wǎng)絡(luò)防火墻:服務(wù)范圍為局域網(wǎng)絡(luò)
1. 實(shí)驗(yàn)拓?fù)?/strong>
2. 主機(jī)規(guī)劃
主機(jī)名
| 角色 | 網(wǎng)卡 | IP地址 |
| node1 | 內(nèi)網(wǎng)主機(jī) | vmnet2:eno16777736 | 192.168.11.2/24 |
| node2 | 網(wǎng)關(guān)主機(jī) | vmnet2:eno16777736 橋接:eno33554984 | 192.168.11.1/24 172.16.52.52/16 |
| node3 | 外網(wǎng)主機(jī) | 橋接:eno16777736 | 172.16.52.53/16 |
說明:
node1 添加一條默認(rèn)網(wǎng)關(guān)指向192.168.11.1
route add default gw 192.168.11.1
node2 要開啟ip_forward功能
sysctl -w net.ipv4.ip_forward=1
內(nèi)網(wǎng)要與外網(wǎng)通訊node3還要添加一條指向192.168.11.0/24網(wǎng)絡(luò)路由
route add -net 192.168.11.0/24 gw 172.16.52.52
3.測(cè)試實(shí)驗(yàn)環(huán)境
node1:開啟httpd服務(wù)�����,測(cè)試node3能否訪問
[root@node3 ~]# ping 192.168.11.2
PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.
64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms
64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms
[root@node3 ~]# curl 192.168.11.2
node1 apache sit4. 構(gòu)建iptables網(wǎng)絡(luò)防火墻
4.1 拒絕所有請(qǐng)求
[root@node2 ~]# iptables -A FORWARD -j DROP
4.2 開放所有ESTABLISED,RELATED的請(qǐng)求
[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
4.3 開放從內(nèi)網(wǎng)到外網(wǎng)所有為NEW的請(qǐng)求
[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT
[root@node2 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 113 packets, 9316 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
37 3108 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 236 ACCEPT all -- * * 192.168.11.0/24 0.0.0.0/0 state NEW
696 58080 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes)
pkts bytes target prot opt in out source destination
現(xiàn)在內(nèi)網(wǎng)是可以訪問外網(wǎng)的,但是外網(wǎng)進(jìn)來的所有請(qǐng)求都被拒絕
4.4 開放從外到內(nèi)的21端口�,22端口,23端口���,80端口�,狀態(tài)為NEW的請(qǐng)求
[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT
node3:ftp測(cè)試訪問:
[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls
`ls' at 0 [Making data connection...]
RELATED狀態(tài)已經(jīng)追蹤���,21號(hào)端口已經(jīng)開放���,為什么還是不能訪問?因?yàn)閚f_conntrack_ftp 模塊沒有加載
加載nf_conntrack_ftp 模塊:
[root@node2 ~]# modprobe nf_conntrack_ftp
[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls
drwxr-xr-x
2 0 0 6 Nov 20 2015 pub
總結(jié):網(wǎng)關(guān)防火墻iptables策略做的是白名單�,默認(rèn)拒絕所有,只有開放的服務(wù)����,外網(wǎng)才能訪問����。內(nèi)網(wǎng)訪問外網(wǎng)沒有特殊情況一般為允許。
文章題目:Iptables番外篇-構(gòu)建網(wǎng)絡(luò)防火墻
網(wǎng)址分享:http://weahome.cn/article/pohgds.html
重慶分公司
重慶分公司
