使用iptables作为网络防火墙构建安全的网络环境

前言

一般情况下iptables只作为主机防火墙使用,但是在特殊情况下也可以使用iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables对三台服务器的安全进行安全防护

网络防火墙的优势

网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制

实验拓扑图

实验环境

主机 IP地址 功用
fire.anyisalin.com 192.168.2.2,192.168.1.112 控制整个网段的数据报文的流入流出及过滤
ns.anyisalin.com 192.168.2.3 提供DNS服务
ftp.anyisalin.com 192.168.2.5 提供FTP服务
www.anyisalin.com 192.168.2.4 提供web服务

除了fire主机,其他主机皆关闭SElinuxiptables

实验步骤

FTP,WEB,DNS服务器安装配置这里就不写了,有兴趣的看我以前的博客AnyISalIn的文章

防火墙未设置前对所有服务器的测试

以下操作在192.168.1.103进行

dns服务能够正常使用

ftp服务能够正常使用 

web服务能够正常使用

针对不同服务器进行”非法”访问

我们对dns,web.ftp服务器分别进行ping,ssh等操作

定义网络防火墙规则

大家应该够知道,服务器开放的端口越多就越危险,所以我们在网络防火墙对其进行规则定义

[[email protected] ~]# iptables -P FORWARD DROP  #设置FORWARD链默认策略为DROP[[email protected] ~]# modprobe nf_conntrack_ftp  #装载追踪FTP被动连接模块[[email protected] ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT[[email protected] ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT[[email protected] ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT

再次针对不同服务器进行”非法”访问

大家看!现在已经不能对服务器进行非法访问了

测试服务器是否可访问

ftp服务能正常访问

 

web服务能正常访问 
 

dns服务能正常访问

总结

本文只做了一些简单的限制,不过足以限制用户只能访问”该访问”的服务,这当然不能运用于生产环境中,毕竟设计简陋,大家笑笑就好 
作者:AnyISalIn 
感谢:MageEdu

时间: 2024-08-05 07:06:01

使用iptables作为网络防火墙构建安全的网络环境的相关文章

Iptables番外篇-构建网络防火墙

前言 本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙. iptables实现的防火墙功能: 主机防火墙:服务范围为当前主机 网络防火墙:服务范围为局域网络 1. 实验拓扑 2. 主机规划 主机名 角色 网卡 IP地址 node1 内网主机 vmnet2:eno16777736 192.168.11.2/24 node2 网关主机 vmnet2:eno16777736 桥接:eno33554984 192.168.11.1/24

Linux命令:iptables网络防火墙

Linux命令:iptables 网络防火墙 一.iptables的发展: iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具.但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的).当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,

网络防火墙之iptables的前世今生和归宿

任何事物都有一个从无到有,再归于无的过程.是的,我这里用了一个绝对词:任何. 防火墙 在计算机领域中,防火墙(英文:Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过.防火墙可能是一台专属的硬件或是架设在一般硬件上的.通俗的一个类比就是中国古代的长城或者城市的城墙,用于安全防御的作用,只有满足特定要求,接受检查后才能进入. 防火墙作为内部网与外部网之间的一种访问控制设备, 常常安装在内部网和外部网交界点上.主要分为网络层防火墙和应用层防火墙两种,但也有些

4.iptables 网络防火墙

[1] #如果想要iptables作为网络防火墙,iptables所在主机开启核心转发功能,以便能够转发报文. [2] #使用如下命令查看当前主机是否已经开启了核心转发,0表示为开启,1表示已开启 cat /proc/sys/net/ipv4/ip_forward [3] #使用如下两种方法均可临时开启核心转发,立即生效,但是重启网络配置后会失效. 方法一:echo 1 > /proc/sys/net/ipv4/ip_forward 方法二:sysctl -w net.ipv4.ip_forwa

iptables作为网络防火墙的应用

iptables网络防火墙 iptables做为网络防火墙是需要将其充当网关使用,需要使用到filer表的FORWARD链iptables作为网络防火墙时需要注意的问题1.请求-响应报文均会经由FORWARD链,需要注意规则的方向性2.如果要启用conntrack机制,建议将两个方向的状态都为ESTABLISHED的报文直接放行 实验环境 准备3台主机,node1为外网主机,node2为网络防火墙,node3为内网主机 主机 外网IP 内网IP node1 172.22.27.10 - node

iptables网络防火墙和SNAT原理实战

网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性 (2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行 实战演练: 环境准备: A主机:192.168.37.6(NAT模式,做内网) B主机:192.168.37.7(NAT模式),172.16.0.7(桥接模式)B主机作为防火墙 C主机:172

Linux:网络防火墙原理

Linux:网络防火墙 netfilter:Frame iptables: 数据报文过滤,NAT,mangle等规则生成的工具 网络:IP报文首部,TCP报文首部 防火墙:硬件,软件:规则(匹配标准,处理办法) Framework: 默认规则: 开放: 堵 关闭: 通 规则:匹配标准 IP:源IP,目标IP TCP:源端口,目标端口 tcp三次握手: SYN=1,FIN=0,RST=0,ACK=0; SYN=1,ACK=1,FIN=0,RST=0; ACK=1,SYN=0.RST=0,FIN=0

第7章 Iptables与Firewalld防火墙。

第7章 Iptables与Firewalld防火墙. Chapter7_听较强节奏的音乐能够让您更长时间的投入在学习中. <Linux就该这么学> 00:00/00:00 104:01 204:13 304:12 402:47 502:57 605:39 702:52 803:55 903:59 1003:59 1102:56 1203:44 1303:19 1403:08 章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall

Linux的安全设置,网络防火墙

下面介绍的是Linux的安全设置,网络防火墙(iptables.NAT.layer7.diff.patch.SELinux) 一.防火墙 1.防火墙基础 (1).防火墙 防火墙,是一种隔离工具,工作于主机和网络边缘.对于经过防火墙的报文,根据预先安排好的规则进行检测,如果能够匹配,则按照特定规进行处理. (2).防火墙分类 防火墙分为两类,软件防火墙.硬件防火墙.软件防火墙有iptables.netfilter,硬件防火墙有PIX.ASA. 同时,防火墙还可以按类别分,分为主机防火墙.网络防火墙