推薦-使用iptables作為網絡防火墻構建安全的網絡環境

Net18-AnyISalIn ? ? Linux干貨

使用iptables作為網絡防火墻構建安全的網絡環境

前言

一般情況下iptables只作為主機防火墻使用,但是在特殊情況下也可以使用iptables對整個網絡進行流量控制和網絡安全防護等功能,在本文中,我們使用iptables對三臺服務器的安全進行安全防護

網絡防火墻的優勢

網絡防火墻相比于主機防火墻而言,范圍更大,不用對網絡內的各主機各自設置防火墻規則就可以保證其安全性,但是必須在網絡的進出口才能對出入數據包進行限制

實驗拓撲圖

下載.png

實驗環境

主機 IP地址 功用
fire.anyisalin.com 192.168.2.2,192.168.1.112 控制整個網段的數據報文的流入流出及過濾
ns.anyisalin.com 192.168.2.3 提供DNS服務
ftp.anyisalin.com 192.168.2.5 提供FTP服務
www.anyisalin.com 192.168.2.4 提供web服務

除了fire主機,其他主機皆關閉SElinuxiptables

實驗步驟

FTP,WEB,DNS服務器安裝配置這里就不寫了,有興趣的看我以前的博客AnyISalIn的文章

防火墻未設置前對所有服務器的測試

以下操作在192.168.1.103進行

dns服務能夠正常使用 

blob.png

ftp服務能夠正常使用 
blob.png

web服務能夠正常使用 

blob.png

針對不同服務器進行”非法”訪問

我們對dns,web.ftp服務器分別進行ping,ssh等操作 

blob.png

blob.png

定義網絡防火墻規則

大家應該夠知道,服務器開放的端口越多就越危險,所以我們在網絡防火墻對其進行規則定義

[root@fire ~]# iptables -P FORWARD DROP  #設置FORWARD鏈默認策略為DROP
[root@fire ~]# modprobe nf_conntrack_ftp  #裝載追蹤FTP被動連接模塊
[root@fire ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT

解釋一下上面幾條規則的作用 
第一條規則將FORWARD鏈的默認策略設置為DROP,那么默認所有的數據包將不能通過FORWARD的轉發 
第二條規則狀態nf_conntrack_ftp模塊,使得iptables能夠追蹤FTP鏈接的狀態,使數據連接得以建立 
第三條意思是狀態使ESTABLISHEDRELATED允許通過,指的是已建立鏈接或者追蹤鏈接建立能夠通過 
第四條意思是允許訪問目標地址為192.168.2.0網段,端口為21/TCP80/TCP狀態為NEW能夠通過,指的是新的鏈接能通過 
第五條是為DNS查詢而添加的規則,指的是允許訪問目標地址為192.168.2.3的地址且目標端口為53/UDPNEW`狀態能夠通過,同指新的鏈接能夠通

再次針對不同服務器進行”非法”訪問

大家看!現在已經不能對服務器進行非法訪問了 

blob.png

測試服務器是否可訪問

ftp服務能正常訪問 

blob.png 

web服務能正常訪問 
blob.png 

dns服務能正常訪問 

blob.png

總結

本文只做了一些簡單的限制,不過足以限制用戶只能訪問”該訪問”的服務,這當然不能運用于生產環境中,畢竟設計簡陋,大家笑笑就好 
作者:AnyISalIn 
感謝:MageEdu

原創文章,作者:Net18-AnyISalIn,如若轉載,請注明出處:http://www.www58058.com/13969

(0)
Net18-AnyISalInNet18-AnyISalIn
上一篇 2016-03-31 19:31
下一篇 2016-04-01 15:53

相關推薦

  • ls、shutdown命令使用及命令提示符格式修改

        ls、shutdown命令使用及命令提示符格式修改                      &nbs…

    Linux干貨 2016-10-17

  • bash循環、函數、數組、內置的字符串處理、變量、trap信號捕捉

    流程控制 過程式編程語言: 順序執行 如果是命令寫錯了,可以繼續往下執行;但當語法錯誤時則不會往下繼續執行; 選擇執行 循環執行 條件選擇:if語句 單分支 if 判斷條件;then 條件為真的分支代碼 fi 雙分支 if 判斷條件; then 條件為真的分支代碼 else 條件為假的分支代碼 fi 多分支 if 判斷條件1; then 條件為真的分支代碼 …

    Linux干貨 2017-05-21

  • 網絡管理總結

      在學習Linux的快兩個月時間的這個階段,我們學習到了網絡的相關知識,哇,原來我們上網是需要這么多步驟的,玩了這么久的電腦,打開過無數網站還只是停留在以為打開網站只需要點點鼠標的層面,慚愧慚愧。學習了一周,終于了解了一些網絡的基層結構和一些網絡協議,下面是對這一周所學知識的一些總結,加強記憶和理解。還停留在以為打開一個網站只是動動鼠標…

    2017-09-02

  • 馬哥linux2014|2015全套教程

    1、本課程全程將基于集成了Openstack云環境、支持高精度時間(PTP)及虛擬化性能大大提升的RHEL 6.5或CentOS 6.6,間或介紹CentOS 7系統的使用; 2、此文章給出的只是個課程知識點框架,實際講解過程相當精細;另外,知識點講授的次序未必同此文章所標示的順序相同; 3、第15期面授班定于2015年3月24號開課;本期將會是馬哥教育數年…

    Linux干貨 2015-07-14

  • Linux初識

    N22-熊寶–http://www.www58058.com/author/echeng1514 –馬哥教育網絡班22期–第1周課程練習   1、描述計算機的組成及其功能: 2、按系列羅列Linux的發行版,并描述不同發行版之間的聯系與區別: Linux有眾多的發行版,都是基于不同的內核版本,做了許多改…

    Linux干貨 2016-08-15

  • 任務計劃1

    at.allow :優先級高,有此文件,deny無效,只有此文件中的用戶可使用at at.deny:優先級低,此文件中的用戶拒絕,不在此文件允許 如果都沒有,全都拒絕普通用戶     [root@localhost ~]# rpm -q  at at-3.1.13-22.el7.x86_64 [root@localhost ~]…

    Linux干貨 2017-05-15

評論列表(1條)

  • stanley
    stanley 2016-04-05 22:31

    已置頂

欧美性久久久久