网关防火墙基础配置

网关服务器上的防火墙简略配置:

  1. vim /etc/sysctl.conf 修改内核参数 net.ipv4.ip_forward=1【开启路由转发】
    sysctl -p 【使配置生效】
  2. iptables -t nat -A POSTROUTING -s 【内网网段/24】-o eth0 【外网网卡】-j
    SNAT--to-source 【公网地址】{配置SNAT策略使内网主机共享固定IP上网}
  3. iptables -t nat -A POSTROUTING -s 【内网网段/24】-o ppp0 -j MASQUERADE
    【共享动态ip地址上网】
  4. iptables -t nat -A PREROUTING -d 【公网地址】-i eth0 【外网网卡】-p
    tcp --dport 80 -j DNAT –to-destination 【内网服务器地址】
    {配置DNAT策略发布企业内部web服务器}
  5. 对于linux网关服务器来说,在默认拒绝的情况下,若要实现共享上网,除了正常的SNAT策略以外,还需要放行内网PC与Internet中的DNS、Web、FTP等服务的通信。
    iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 20:21 -j ACCEPT
    iptables -A FORWARD -d 【内网网段/24】-i 【外网网卡】-m state –state ESTABLISHED
    ,RELATED -j ACCEPT
  6. service iptables save
    iptables-save >/tmp/somefile 【导出防火墙配置】
    iptalbles-restore </tmp/somefile 【导入防火墙配置】
    具体工作中,根据实际情况有针对性的设计,并做好整体测试,避免因规则不当而导致的网络通信故障。

原文地址:http://blog.51cto.com/13588698/2151879

时间: 2024-11-09 07:07:33

网关防火墙基础配置的相关文章

H3C F1000-S防火墙基础配置及telnet登录!

一.场景说明: 准备调试的防火墙在机房,由于现场配置比较麻烦,所以决定先调测到可以通过核心交换下面的一台跳板机可以访问后在远程调试. 二.拓扑图: 拓扑如下:外网通过箭头1的方向访问到箭头2所指向的跳板机,然后如logo覆盖的箭头3所示在通过跳板机访问与华为9306的互联的H3C防火墙,相关端口.规划IP如图所示. H3C SecPath F1000-S-AI版本如下: Comware Software, Version 5.20 注:请忽略拓扑标志都是思科标志,看懂即可. 三.配置过程: 1.

华为防火墙基础配置

拓扑图如下: 小实验一: trust区域设备可以访问dmz区域设备,而dmz区域设备不能访问trust区域设备 首先,第一步,将端口加入对应的区域 接下来,将对应的IP加入对应的端口 R1: FW: 测试下是否正常: 科普下,第一个包老报错是因为ARP,第一个包去请求MAC地址了 . 这里再说一点华为和思科的不同之处,思科你防火墙IP什么的配置完之后,PC能ping到FW,FW也能ping到PC:然而,华为思科当中,低安全级别默认都不能访问高安全级别,但华为FW的端口都属于local区域,loc

firewalld防火墙基础配置

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙. Linux防火墙是如何检查数据流量的? 对于进入系统的数据包,首先检查的就是其源地址: 若源地址关联到特定的区域,则执行该区域所制定的规则:若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则.若网络接口未关联到特定的区域,那么就使用默认区域并执行该区域所制定的规则.默认区域并不是单独的区域,而是指向系统上定义的某个其他区域.默认情况下,默认区域是public,但是也可

Linux防火墙基础知识及配置

Linux防火墙基础知识 Linux的防火墙正确的来说并不算是防火墙,只是一种防火墙的功能体现.我们现在来讲解下Linux的这个防火墙功能的详细解释. Linux的防火墙是由iptables与netfilter两个程序组成的,而iptables是一个单独的程序,netfilter是集成到内核中的一个程序,两个程序合作才能拥有完整的防火墙功能. Iptables的功能是向netfiler提供规则,netfilter则是将规则执行起来. Linux防火墙还分为主机防火墙与网络防火墙. 主机防火墙:工

SRX防火墙基础介绍(system层级配置)

Juniper SRX采用Junos操作系统,简单介绍Junos的基础操作命令:set: 建立一个配置(set system hostname srx-test):delete:删除一个配置(delete system hostname srx-test):commit: 建立,删除,修改配置都需要保存配置,使生效:commit check: 检测候选配置的合法性:show | compare: 查看当前配置与激活配置的区别: system层级,用于配置防火墙系统配置,在系统配置中涉及用户,远程

防火墙USG6000V基础配置

实验目的 1掌握防火墙安全区域的配置方法 2掌握安全策略配置方法 实验效果 1 实现防火墙trust到DMZ和untrust的访问 2 实现防火墙tDMZ到untrust的访问 一.防火墙初始配置 USG6600防火墙默认的初始账号密码为,账号admin,密码[email protected],首次登陆时需更改密码.一般情况下,华为新一代的防火墙,默认情况下,只有0口是可以允许所有服务的,用户可根据需求开启相应的端口服务,此处我们是使用模拟器做实验,只需开启在接口模式下,使用命令service-

计算机网络技能专项训练一:基础配置

1 专项一 基础配置: 2 1.虚拟机的设置 3 虚拟网络编辑器-?设置子网地址,确保client与server在一个子网中. 4 将虚拟机的网卡设置为“仅主机模式,vmnet1” 5 确保win7系统中防火墙的关闭. 6 2.client和server的IP地址,子网掩码,dns,网关的设置,以及添加IP地址. 7 3.利用ipconfig/all命令查看tcp/ip的配置. 8 4.利用ping命令检查client与server的连通性. 9 5.Web.FTP.DNS.DHCP组件的安装及

Linux防火墙基础与编写防火墙规则

Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根据处理数据包的不同时机划分为五种链,而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中. 1.防火墙:内核中具有包过滤体系 内核态:netfilter 用户态:iptables  管理工具 工作在网络层:可以对ip地址.端口.协议等信息进行处理 2.规则链:规则的集合 五种链:(必须大

juniper防火墙基础应用学习笔记

基于tpc/ip 2-4层 防火墙设备的设置步骤:1.确定部署模式(透明.路由.NAT模式)2.设置设备的IP地址(接口地址.管理地址)3.设置路由信息4.确定ip地址信息止(基于策略的源.目标地址)5.确定网络应用6.配置防问控制策略 默认帐号密码:netscreen 防火墙三个接口的安全区域:ethernet1:trustethernet2:dmzethernet3:untrustethernet4:null 防火墙三种应用模式:透明模式NAT模式路由模式特殊模式:二层模式与三层模式混合部署