【Linux】iptables之防火墙的应用及案例、策略、备份与还原(2)

举报
A-刘晨阳 发表于 2022/09/15 12:03:13 2022/09/15
【摘要】 @[toc] 一、案例——基于 IP 和端口的防火墙控制实验环境:为网关、Web 服务器配置防火墙规则需求描述:1、为网站服务器编写入站规则  (1)允许接受响应本机 ping 测试请求的各种 ICMP 数据包  (2)允许访问本机中位于 80 端口的Web 服务,禁止访问其他端口的 TCP 请求  (3)允许发往本机以建立连接或与已有连接相关的各种 TCP 数据包  (4)禁止其他任何形式...

在这里插入图片描述
@[toc]
在这里插入图片描述

一、案例——基于 IP 和端口的防火墙控制

在这里插入图片描述

实验环境:为网关、Web 服务器配置防火墙规则
需求描述:
1、为网站服务器编写入站规则
  (1)允许接受响应本机 ping 测试请求的各种 ICMP 数据包
  (2)允许访问本机中位于 80 端口的Web 服务,禁止访问其他端口的 TCP 请求
  (3)允许发往本机以建立连接或与已有连接相关的各种 TCP 数据包
  (4)禁止其他任何形式的入站访问数据

搭建实验环境,结果如下:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

为网站服务器编写入站规则
允许接受响应本机 ping 测试请求的各种 ICMP 数据包

在这里插入图片描述
在这里插入图片描述

禁止其他任何形式的入站访问数据

在这里插入图片描述

内网服务器 ping 网关测试:

在这里插入图片描述

网关 ping 内网服务器测试:

在这里插入图片描述

允许访问本机中位于 80 端口的 Web 服务,禁止访问其他端口的 TCP 请求

在这里插入图片描述

允许发往本机以建立连接或与已有连接相关的各种 TCP 数据包

在这里插入图片描述

保存 iptables 设置

在这里插入图片描述
在这里插入图片描述

测试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

[root@iptables~]# elinks 192.168.1.5

在这里插入图片描述
在这里插入图片描述

[root@iptables~]# ftp 192.168.1.5
ftp:connect:连接超时

2、为网关服务器编写转发规则
  (1)允许局域网中的主机访问 Internet 中是 Web、FTP、DNS、邮件服务
  (2)禁止局域网中的主机访问 web.qq.comw.qq.comim.qq.com 等网站,以防止通过 WebQQ 的方式进行在线聊天

允许局域网中的主机访问Internet 中是 Web、FTP、DNS、邮件服务

在这里插入图片描述

禁止局域网中的主机访问web.qq.comw.qq.comim.qq.com 等网站

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

保存 iptables 规则配置

在这里插入图片描述

二、SNAT 策略

1、作用

作用:局域网主机共享单个公网 IP 地址接入 Internet

2、SNAT 策略的原理

  源地址转换,Source Network Address Translation
  修改数据包的源地址

在这里插入图片描述

3、企业共享上网案例

在这里插入图片描述

前提条件:
  局域网各主机正确设置 IP 地址/子网掩码
  局域网各主机正确设置默认网关地址
  Linux 网关支持 IP 路由转发

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

3.1、固定的外网 IP 地址

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.2、非固定外网 IP 地址或 ADSL

在这里插入图片描述

三、DNAT 策略

1、DNAT 原理

  在 Internet 环境中,通过网关服务器中正确设置 DNAT 策略可实现企业所注册的网站或域名必须对应公网 IP 地址。

在这里插入图片描述

前提条件
  局域网的 Web 服务器能够访问 Internet
  网关的外网 IP 地址有正确的 DNS 解析记录
  Linux 网关支持 IP 路由转发

1.1、DNAT 转发规则 1:发内网 Web 服务

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

1.2、DNAT 转换规则 2:发布时修改目标端口

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

四、iptables 防火墙规则的备份与还原

  设置完防火墙规则后,可备份规则到文件中,以便日后进行还原,或以备份规则为依据编写防火墙脚本

> 为导出   iptables-save
< 为导入   iptables-restore

1、导出(备份)防火墙规则

iptables-save 工具

语法格式:

iptables-save > 要导出的路径

实例:

在这里插入图片描述

2、导入(还原)防火墙规则

iptables-restore 工具

语法格式:

iptables-restore < 要导入的路径

实例:

查看规则,现在是空的:

在这里插入图片描述

导入规则:

在这里插入图片描述

  重定向出的文件也可以是任意自定义的文件,若将规则保存到/etc/sysconfig/iptables 中,iptables 启动时自动还原规则。

五、企业防火墙脚本编程与规范【附加】

1、“网关型”防火墙脚本

好的防火墙脚本要包括以下部分:

  • 定义基本变量,便于脚本的维护、重用
  • 加载必要的内核模块,将频繁用到的模块载入到内核
  • 调整/proc 参数,Linux 内核控制及调优
  • 具体的防火墙规则,按表、链分别设置规则,包括默认策略

1.1、定义基本变量便于脚本的维护、重用

#!/bin/bash
INET_IF=”eth0”
INET_IP=”192.168.1.108”
LAN_IF=”eth1”
LAN_IP=”192.168.100.1”
LAN_NET=”192.168.100.0/24”
LAN_WWW_IP=”192.168.100.100”
IPT=”/sbin/iptables”
MOD=”/sbin/modprobe”
CTL=”/sbin/sysctl”

1.2、加载必要的内核模块将频繁用到的模块载入内核

……
M O D i p t a b l e s MOD ip_tables MOD ip_conntrack
M O D i p t R E J E C T MOD ipt_REJECT MOD ipt_LOG
M O D i p t i p r a n g e MOD ipt_iprange MOD xt_tcpudp
M O D x t s t a t e MOD xt_state MOD xt_multiport
MOD xt_mac \$MOD ip_nat_ftp      支持 FTP 访问的地址转换 MOD ip_conntrack_ftp   支持 FTP 访问的连接状态跟踪

1.3、调整/proc 参数Linux 内核控制及调优

……
$CTL -w net.ipv4.ip_forward=1            开启路由转发功能
$CTL -w net.ipv4.default_ttl=128         默认生存周期
$CTL -w net.ipv4.icmp_echo_ignore_all=1            根本不要响应 echo 包。请不要设置为缺省,它可能在你正被利用成为 DoS 攻击的跳板时可能有用
$CTL -w net.ipv4.icmp_echo_ignore_broadcasts=1     ping 子网的子网地址,所有的机器都应该予以回应。这可能成为非常好用的拒绝服务攻击工具。设置为 1 来忽略这些子网广播消息以下配置为优化 TCP 响应能力
$CTL -w net.ipv4.tcp_syncookies=1        tcp syncookie,默认关闭
$CTL -w net.ipv4.tcp_syn_retries=3       外向 syn 握手重试次数,默认 4
$CTL -w net.ipv4.tcp_synack_retries=3    syn-ack 握手状态重试次数,默认 5,遭受 syn-flood 攻击时改为 12
$CTL -w net.ipv4.tcp_fin_timeout=60      默认 60,tcp fin 状态超时时间
$CTL -w net.ipv4.tcp_max_syn_backlog=3200     syn 队列,默认1024,> 1280 可能工作不稳定,需要修改内核源码参数
……

1.4、具体的防火墙规则

按表、链分别设置规则,包括默认策略

清空原有规则:
IPT -t filter -X   删除 filter 表内的用户自定义的链 IPT -t nat -X
I P T t f i l t e r F IPT -t filter -F IPT -t nat -F

设置默认策略:
I P T P I N P U T D R O P IPT -P INPUT DROP IPT -p FORWARD DROP
I P T P O U T P U T A C C E P T < b r > < f o n t c o l o r = t e a l > 其他具体规则: < / f o n t > IPT -P OUTPUT ACCEPT<br> **<font color=teal>其他具体规则:</font>** IPT -I INPUT -p tcp --dport 22 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source I N E T I P INET_IP IPT -t nat -A PREROUTING -i $INET_IF -d I N E T I P p t c p d p o r t 80 j D N A T t o d e s t i n a t i o n INET_IP -p tcp --dport 80 -j DNAT --to-destination LAN_WWW_IP

1.5、实例:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、“主机型”防火墙脚本

  • 将 OUTPUT 链的默认策略设为允许,不添加其他规则
  • 将 INPUT 链的默认策略设为拒绝,只放行对 Web 服务的访问,以及响应本机访问请求的数据包

2.1、定义基本变量

IPT=”/sbin/iptables”
……

2.2、调整/proc 参数

……

2.3、设置具体的防火墙规则

  1>删除自定义的链、清空已有规则
I P T t f i l t e r X IPT -t filter -X IPT -t filter -F

  2>定义默认策略
I P T P I N P U T D R O P IPT -P INPUT DROP IPT -p FORWARD DROP
IPT -P OUTPUT ACCEPT
   3>设置 filter 表中的各种规则 IPT -A INPUT -m multiport -p tcp --dport 22,80 -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

2.4、实例:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

相关文章

🍎【Linux】iptables之防火墙概述及规则匹配+实例(1)


🍌【Linux】iptables之防火墙的应用及案例、策略、备份与还原(2)


🍐【Linux】firewall-cmd之防火墙简介及常用命令+实例

在这里插入图片描述

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。