在linux系統下配置企業級防火牆
大概配置如圖所示:
iptables的四表五鏈:
四表:
filter和主機自身有關,主要負責過濾流入自己的資料報和自己流出的資料報,它是iptables預設的表。
filter表在這3個檢查點進行檢查:
input
負責過濾目標ip位址是自己本機的資料報
forward
負責過濾目標位址不是本機的資料報,但是防火牆的**機制要開啟(在/etc/sysctl.conf裡,把 net.ipv4.ip_forward=1)如果不開啟會把流經forwad檢查點的包丟棄掉
nat
和主機本身無關,負責將源ip位址進行轉換,轉換成公網ip,因為私網ip是不能與公網直接進行通訊的。
還負責將目標位址、埠轉換。
prerouting: 用於包在到達防火牆的時候,改變它的目標位址。dnat 目標位址轉換
output:用於改變防火牆本機產生的包的目標位址。
postrouting: 用於包在離開防火牆的時候,改變它的源位址。snat 源位址轉換
raw
mangle
五鏈:
prerouting
input
output
postrouting
forward
具體如下圖所示:
開始配置企業級防火牆
規則如下:
1、實現 相關的 snat 功能。
**內部的客戶機上網, 但是 限制 連線,下午 14:00 – 18:00 之間 不允許 訪問 www.taobao.com www.jd.com **。
2、實現 dnat 功能 。將內部伺服器 172.16.100.99 對映 到 閘道器,允許 外部主機訪問 172.16.100.99 提供的 web 服務
3、內部 的 10.1.1.0 網段主機, 只能 通過閘道器訪問 172.16.100.99 的web 服務, 但是 管理員 10.1.1.10 不受限制,並繫結mac ,每個ip只能產生 3 個連線
4、閘道器主機本身,僅允許 內部 ip 訪問自己的 web服務,僅允許 10.1.1.10 ssh 連線自己。
5、防禦 外部 主機,主動 連線 內部主機, 僅僅讓外部主機能夠 訪問 172.16.100.99 的 web 服務。
(1)
清空防火牆規則
iptables -f
iptables -x
iptables -z
iptables -t nat -f
iptables -t nat -x
iptables -t nat -z
(2)設定防火牆全域性規則
iptables -t filter -p input drop
iptables -t filter -p output accept
iptables -t filter -p forward accept
(3)實現內部客戶機上網
iptables -t nat -a postrouting -o ens33 -j masquerade
(4)內部的 10.1
.1.0網段主機,只能通過閘道器訪問 172.16
.100
.99的web 服務,但是管理員10.1
.1.10不受限制,並繫結mac,每個ip只能產生 3 個連線
iptables -t filter -a forward -i ens39 -d
172.16
.100
.99-m mac --mac-source
00:0c:29:0a:51:d1 -s
10.1
.1.10
-p tcp --dport 80
-j accept
iptables -t filter -a forward -i ens39 -d
172.16
.100
.99-p tcp !
--dport 80
-j drop
iptables -t filter -a input -s
10.1
.1.10
-m mac --mac-source
00:0c:29:0a:51:d1 -p tcp --dport 22
-m connlimit !
--connlimit-above
3-j accept
(5)閘道器主機本身,僅允許內部 ip訪問自己的 web服務,僅允許 10.1
.1.10 ssh 連線自己。
iptables -t filter -a input -i ens39 -p tcp --dport 80
-j accept
iptables -t filter -a input -i ens38 -p tcp --dport 80
-j accept
(6)防禦外部主機,動連線內部主機,僅僅讓外部主機能夠 訪問 172.16
.100
.99 的 web 服務。
iptables -t nat -a prerouting -i ens33 -d
192.168
.72.125
-p tcp --dport 80
-j dnat --
to172.16
.100
.99(7)每天9:00到12:00,下午2:00
-18:00禁止訪問**網,京東網。
iptables -t filter -a forward -o ens33 -m
string
--algo kmp --
string
"taobao"
-m time --timestart 1:00
--timestop 4:00
-j drop
iptables -t filter -a forward -o ens33 -m
string
--algo kmp --
string
"jd"
-m time --timestart 6:00
--timestop 10:00
-j drop
初次寫部落格,如有問題,請多多擔待!!!!
zabbix企業級監控系統
zabbix企業級監控系統 keys 鍵值 net.if.in eno16777736 自定義鍵值 被監控端自定義鍵值 root lnmp soft zabbix 3.4.4 conf zabbix agentd etc zabbix zabbix agentd.d 自定義乙個以.conf結尾的檔案...
企業級快取系統varnish應用
隨著公司業務快速發展,公司的電子商務平台已經聚集了很多的忠實粉絲,公司也拿到了投資,這時老闆想通過一場類似雙十一的活動,進行一場大的 屆時會有非常多的粉絲訪問 你的總監與市場部門開完會後,確定活動期間會有平常10倍以上的訪問請求,總監要求大幅增加 容量,除了去擴容伺服器之外,還有沒有其他辦法呢?如今...
dboxShare 企業級網盤系統
d 字母具有多重含義,分別代表 drive 驅動器 data 資料 document 文件 dboxshare是基於.net開源的一款企業級網盤系統,私有雲部署,為團隊提供簡便易用 安全可靠的檔案管理 共享和協作解決方案,幫助使用者搭建乙個簡便易用 安全可靠的私有雲檔案管理 共享和協作辦公平台。基於...