国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Iptables實現(xiàn)網(wǎng)絡(luò)防火墻

IT那活兒 / 2484人閱讀
Iptables實現(xiàn)網(wǎng)絡(luò)防火墻

點擊上方“IT那活兒”,關(guān)注后了解更多精彩內(nèi)容!!


前  言

防火墻從邏輯上講分為主機防火墻和網(wǎng)絡(luò)防火墻。
主機防火墻:針對單個主機進行防護。
網(wǎng)絡(luò)防火墻:針對于網(wǎng)絡(luò)入口進行防護,服務(wù)于防火墻背后的本地局域網(wǎng)。
網(wǎng)絡(luò)防火墻往往處于網(wǎng)絡(luò)的入口或者邊緣,那么,如果想要使用iptables充當(dāng)網(wǎng)絡(luò)防火墻,iptables所在的主機則需要處于網(wǎng)絡(luò)入口處,如圖所示:
PC1作為iptables所在主機,此時iptables充當(dāng)?shù)慕巧礊榫W(wǎng)絡(luò)防火墻,圖中的圓圈表示網(wǎng)絡(luò)防火墻所防護的網(wǎng)絡(luò)區(qū)域,圈里面是網(wǎng)絡(luò)內(nèi)的主機。
當(dāng)外部網(wǎng)絡(luò)中的主機與網(wǎng)絡(luò)內(nèi)部主機通訊時,不管是由外部主機發(fā)往內(nèi)部主機的報文,還是由內(nèi)部主機發(fā)往外部主機的報文,都需要經(jīng)過iptables所在的主機,由iptables所在的主機進行“過濾并轉(zhuǎn)發(fā)”,所以,防火墻主機的主要工作就是“過濾并轉(zhuǎn)發(fā)”。
當(dāng)iptables作為主機防火墻時,所用到的鏈?zhǔn)荌NPUT鏈與OUTPUT鏈,因為擁有“過濾功能”的鏈只有3條,INPUT、OUTPUT、FORWARD,當(dāng)報文發(fā)往本機時,如果想要過濾,只能在INPUT鏈與OUTPUT鏈中實現(xiàn);
但當(dāng)iptables作為網(wǎng)絡(luò)防火墻時,所做的工作是“過濾并轉(zhuǎn)發(fā)”,要想“過濾”,只能在INPUT、OUTPUT、FORWARD三條鏈中實現(xiàn),要想”轉(zhuǎn)發(fā)”,報文則只會經(jīng)過FORWARD鏈(發(fā)往本機的報文才會經(jīng)過INPUT鏈),所以,綜上所述,iptable座位網(wǎng)絡(luò)防火墻時,規(guī)則只能定義在FORWARD鏈中。

準(zhǔn)備環(huán)境

三臺虛擬機
外網(wǎng)機:Centos7 1號機 ip 192.168.1.1
中間機:Centos7 2號機 ip 192.168.1.2                        192.168.42.128
內(nèi)網(wǎng)機:Centos7 3號機ip 192.168.42.129

設(shè)  定

Centos7 1號機是一臺外網(wǎng)的服務(wù)器。
Centos7 3號機是內(nèi)網(wǎng)的一臺主機。
Centos7 2號機所處的內(nèi)網(wǎng)中的與外網(wǎng)相連的主機(即防火墻)。
192.168.1.0/24是外網(wǎng)。192.168.42.0/24是內(nèi)網(wǎng)。
我們通過1號機去訪問3號機,但要經(jīng)過2號機進行轉(zhuǎn)發(fā),2號機在轉(zhuǎn)發(fā)報文時會進行過濾,以實現(xiàn)網(wǎng)絡(luò)防火墻的功能。

步  驟

1. 在外網(wǎng)機上設(shè)置路由

讓在網(wǎng)段192.168.42.0/24的報文轉(zhuǎn)給網(wǎng)關(guān)192.168.1.2,就是中間機的外網(wǎng)IP。
route -n:列出路由規(guī)則。

2. 在內(nèi)網(wǎng)機上設(shè)置路由

讓在網(wǎng)段192.168.1.0/24的報文轉(zhuǎn)給網(wǎng)關(guān)192.168.42.128 ,也就是中間機的內(nèi)網(wǎng)IP。

3. 在中間機上設(shè)置流量轉(zhuǎn)發(fā)

首先查看/proc/sys/net/ipv4/ip_forward文件中的內(nèi)容,如果內(nèi)容為0,則表示當(dāng)前主機不支持轉(zhuǎn)發(fā),只需要將文件中的值設(shè)置為1即可。
此時用外網(wǎng)機ping內(nèi)網(wǎng)機,發(fā)現(xiàn)可以ping通。
用內(nèi)網(wǎng)機ping外網(wǎng)機,也可以ping通。
這時,中間機就起到了流量轉(zhuǎn)發(fā)的作用。

4. 在中間機上設(shè)置防火墻規(guī)則

讓它真正起到防火墻的作用,為了減少主機防火墻帶來的影響,需要把內(nèi)網(wǎng)機和外網(wǎng)機的防火墻規(guī)則清空。
當(dāng)iptables作為網(wǎng)絡(luò)防火墻時,主要負(fù)責(zé)過濾于轉(zhuǎn)發(fā),所以需要在FORWARD鏈上設(shè)置規(guī)則,這里可以使用白名單機制。
配置了一條默認(rèn)拒絕的規(guī)則后,現(xiàn)在外網(wǎng)機和內(nèi)網(wǎng)機已經(jīng)無法相互通訊了。
我們讓內(nèi)網(wǎng)機能ping通外網(wǎng)機,外網(wǎng)機不能ping通內(nèi)網(wǎng)機。
這時內(nèi)網(wǎng)機可以ping通外網(wǎng)機。
而外網(wǎng)機不同ping通內(nèi)網(wǎng)機。
這樣iptables就發(fā)揮了網(wǎng)絡(luò)防火墻的功能了。



本 文 原 創(chuàng) 來 源:IT那活兒微信公眾號(上海新炬王翦團隊)


文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/129678.html

相關(guān)文章

  • 深入理解iptables火墻

    摘要:防火墻根據(jù)一組規(guī)則檢查這些頭,以確定接受哪個信息包以及拒絕哪個信息包。我們將該過程稱為信息包過濾。雖然信息包過濾系統(tǒng)被稱為單個實體,但它實際上由兩個組件和組成。處理出站信息包的規(guī)則被添加到鏈中。 本文部分內(nèi)容節(jié)選自:netfilter/iptables 簡介 - IBM developerWorks 0x00 Linux 安全性和 netfilter/iptables Linux ...

    summerpxy 評論0 收藏0
  • 火墻 基礎(chǔ)網(wǎng)絡(luò) UNet

    摘要:通常情況下,防火墻規(guī)則是立即生效的。在這種場景,防火墻生效最多需要兩分鐘。防火墻未立即生效的補救措施防火墻未立即生效的補救措施如上面所提到的場景,其端口為。 防火墻本篇目錄為何防火墻已經(jīng)打開某端口, 但還是連不上?為什么主機無法ping通?如何將某端口對所有IP開放?如何限制某些惡意用戶對我主機的訪問?內(nèi)網(wǎng)是否有ACL功能?我的內(nèi)網(wǎng)主機如何與其他人的主機隔離?修改防火墻以后,新規(guī)則會即時生效...

    ernest.wang 評論0 收藏1512

發(fā)表評論

0條評論

IT那活兒

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<