返回
rh253 linux服务器架设笔记十-iptables防火墙

rh253 linux服务器架设笔记十-iptables防火墙

ID:11321316

大小:931.50 KB

页数:7页

时间:2018-07-11

rh253 linux服务器架设笔记十-iptables防火墙_第1页
rh253 linux服务器架设笔记十-iptables防火墙_第2页
rh253 linux服务器架设笔记十-iptables防火墙_第3页
rh253 linux服务器架设笔记十-iptables防火墙_第4页
rh253 linux服务器架设笔记十-iptables防火墙_第5页
资源描述:

《rh253 linux服务器架设笔记十-iptables防火墙》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、RH253Linux服务器架设笔记十-Iptables防火墙其实不论从nat,包过滤,ALG,稳定性,安全性,来说,用linux做一个防火墙,是一个不错的规划,当然还有价格Iptables防火墙原理防火墙技术分为三种1、包过滤,在ACL中使用ip地址或端口号进行过滤2、ALG,应用层网关,工作类是代理服务器,linux的squid和win的ISA都是出色的ALG3、状态化包过滤,使用ACL,通过了解连接状态来确定访问行为iptables支持包过滤和状态化包过滤具体防火墙技术相当深奥,不是一言两语可以说清楚我们用一个实例来分析吧

2、,这个需要对路由和nat要有一定了解才行实例1:一个企业使用linux作为网管和防火墙,如果难度再大点就加个DMZ区域这样就要3块网卡通过了解DMZ特性1、不可以访问内网2、内网和外网可以访问3、不可以访问外网通过这三个特性配置DMZ的网段就可以了DMZ是不允许访问内网的,避外网通过攻破DMZ,进而攻击内网DMZ位于网络的哪个位置?内网和外网之间在硬件设备上就是他自动帮你实现了这些功能,在linux就需要你了解原理,然后自己手动配置,达到相同的效果如果涉及到DMZ的话,肯定还会有状态化包过滤好像说深了点点,我们继续刚才的课题作

3、为网关需要设置全局的默认网关到外面那个网卡eth1内网我们使用eth0内网所有主机网关指向linux的eth0的IP地址,然后在服务器打开ip转发vim/etc/sysctl.conf他是内存正在运行的一些参数的配置文件,禁ping那个参数可以写到这里,每次开机读取net.ipv4.ip_forward=0值改成1更新系统内核参数sysctl-p现在我们的IP包已经可以出到广域网了,但是广域网上的路由器会丢弃我们内网的IP地址,所以我们要做nat好了,开始说到iptables了要做nat就需要用到iptables的nat表我们

4、是从里面到外面的包,所以要修改源IP,就叫做源NAT红帽的官方教材上讲iptables也是用的这个图我们要出去,就是postrouting现在我们来配置这条命令iptables-tnat-APOSTROUTING-oeth1-s192.168.8.0/24-jMASQUERADE我们来讲解这条命令iptables是命令本身-t是执行表,iptables有两个表,一个是filter:过滤的表一个是nat,就是NAT表,NetworkAddressTranslator然后-A,-A的意思就是添加一条链这里添加的链是POSTROUT

5、ING链,就是源NAT-o是出去的网卡设备,我们使用的是eth1网卡-s是源地址,我们设置内网的192.168.8.0/24网段-j是动作,MASQUERADE动态源地址转换(动态IP的情况下使用)如果我们使用的静态外网地址,就可以这样写iptables-tnat-APOSTROUTING-oeth1 -j SNAT--to 1.1.1.1 把出去的地址都转换成1.1.1.1好了,现在内网用户可以通过linux网关上网了这个时候我们为了保证内网安全,我们就需要控制进来的包了现在我们不考虑DMZ,或者是内部有服务器的问题,这样,

6、外部进来的包,我们默认都要丢弃比方说,你的代理:192.168.0.1而我的pc在另外一个网段,192.168.8.88  gw192.168.8.188这样的话就还需要一个网卡了,通过这个网卡来路由撒为了防止外网伪装内网IP进行攻击。私网地址的范围如下:10.0.0.0~10.255.255.255172.16.0.0~172.31.255.255192.168.0.0~192.168.255.255127开头的(lookback地址)169.254开头的(WINDOWS保留地址)先要把10.0.0.0172.16-31.0

7、.0192.168.0.0全部禁止,这几条放在最上面然后再考虑对外要开放的端口号,最后默认策略要是DROP变成命令就是这样iptables-tfilter-AINPUT-s10.0.0.0/8-jDROPiptables-tfilter-AINPUT-s172.16.0.0/16-jDROPiptables-tfilter-AINPUT-s172.17.0.0/16-jDROP省略iptables-tfilter-AINPUT-s192.168.0.0/24-jDROP这样把私有网段先全部禁止了现在外网的私有网段已经ping不

8、通eth1网卡了而内网192.168.8.0/24网段正常然后我们开放一个80端口iptables-tfilter-AINPUT-ptcp-ieth1--dport80-jACCEPT允许所有IP,当然上面禁止的私有IP不行,都可以访问eth1接口IP的80端口然后就是最后一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。