千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

Iptables番外篇-构建网络防火墙

发表于:2025-12-02 作者:千家信息网编辑
千家信息网最后更新 2025年12月02日,前言本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。iptables实现的防火墙功能:主机防火墙:服务范围为当前主机网络防火墙:服务
千家信息网最后更新 2025年12月02日Iptables番外篇-构建网络防火墙

前言

本文旨在复习iptables FORWARD表的相关知识,构建简易实验环境,实现通过iptables构建网络防火墙。

iptables实现的防火墙功能:

主机防火墙:服务范围为当前主机

网络防火墙:服务范围为局域网络


1. 实验拓扑



2. 主机规划


主机名
角色网卡IP地址
node1内网主机vmnet2:eno16777736192.168.11.2/24
node2网关主机

vmnet2:eno16777736

桥接:eno33554984

192.168.11.1/24

172.16.52.52/16

node3外网主机桥接:eno16777736172.16.52.53/16

说明:

node1 添加一条默认网关指向192.168.11.1

route add default gw 192.168.11.1

node2 要开启ip_forward功能

  sysctl -w net.ipv4.ip_forward=1

内网要与外网通讯node3还要添加一条指向192.168.11.0/24网络路由

route add -net 192.168.11.0/24 gw 172.16.52.52


3.测试实验环境

node1:开启httpd服务,测试node3能否访问

[root@node3 ~]# ping 192.168.11.2PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms
[root@node3 ~]# curl 192.168.11.2
node1 apache sit


4. 构建iptables网络防火墙
4.1 拒绝所有请求
[root@node2 ~]# iptables -A FORWARD -j DROP

4.2 开放所有ESTABLISED,RELATED的请求
[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


4.3 开放从内网到外网所有为NEW的请求

[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT
[root@node2 ~]# iptables -vnLChain INPUT (policy ACCEPT 113 packets, 9316 bytes) pkts bytes target     prot opt in     out     source               destination         Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination            37  3108 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED    3   236 ACCEPT     all  --  *      *       192.168.11.0/24      0.0.0.0/0            state NEW  696 58080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes) pkts bytes target     prot opt in     out     source               destination
现在内网是可以访问外网的,但是外网进来的所有请求都被拒绝

4.4 开放从外到内的21端口,22端口,23端口,80端口,状态为NEW的请求
[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT


node3:ftp测试访问:
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> ls             `ls' at 0 [Making data connection...]

RELATED状态已经追踪,21号端口已经开放,为什么还是不能访问?因为nf_conntrack_ftp 模块没有加载

加载nf_conntrack_ftp 模块:
[root@node2 ~]# modprobe nf_conntrack_ftp
[root@node3 ~]# lftp 192.168.11.2lftp 192.168.11.2:~> lsdrwxr-xr-x   2 0        0               6 Nov 20  2015 pub

总结:网关防火墙iptables策略做的是白名单,默认拒绝所有,只有开放的服务,外网才能访问。内网访问外网没有特殊情况一般为允许。
很赞哦!
主机 防火墙 防火 网络 端口 开放 服务 网关 实验 测试 功能 指向 服务范围 模块 状态 环境 范围 加一 特殊 前言 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 数据库原理及应用教程是谁写的丿 大专生学网络技术专业好吗 政企部门网络安全培训 数据库怎么投入使用 软件开发项目用图说清楚 源站服务器安全狗 联想服务器sr588驱动安装 w7.dbs服务器未响应 软件开发企业的资产负债率 网络安全绘画简单画画 三级数据库技术考试时间 软件开发好的培训学校 反洗钱道琼斯数据库 环球网360网络安全学院 山东时代网络技术优势 网易服务器入门基本知识 星环展示数据库链接 隆回悦尚软件开发 网络安全建设怎么收费 软件开发中间件有哪些 斑马打印机选择数据库 万军乐软件开发公司 app读取不到数据库 郑州软件开发专业中等学校 中软微谷网络技术有限公司 金属税盘要下什么软件开发票 233网络技术百度网盘 软件开发服务计量单位填什么 吉林数据网络技术质量服务 手机远程数据库app

相关文章

0