步驟三:網路型防火牆案例
網路型防火牆案例
部署如表所示的網路拓撲,一定要把proxy主機的路由**功能開啟。
1)、環境準備(在原有環境上繼續準備)
client主機:配置閘道器192.168.4.5
web1:配置閘道器192.168.2.5
將4.0網段的網絡卡臨時關閉如: nmcli con down 網絡卡名
2)、在proxy主機上開啟路由**。
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward #開啟路由**
#注意以上操作僅當前有效,計算機重啟後無效
[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
#修改/etc/sysctl.conf配置檔案,可以實現永久有效規則
[root@proxy ~]# sysctl -p
[root@proxy ~]# iptables -f
3)、在web1主機上啟動http服務
4)、測試
[root@client ~]# curl //訪問成功。
ping的流程(a主機pingb主機)如圖-3所示。
1)預設直接禁ping的問題
[root@proxy ~]# iptables -i input -p icmp -j drop
#設定完上面的規則後,其他主機確實無法ping本機,但本機也無法ping其他主機
#當本機ping其他主機,其他主機回應也是使用icmp,對方的回應被丟棄。
2)禁止其他主機ping本機,允許本機ping其他主機
[root@proxy ~]# iptables -f
[root@proxy ~]# iptables -a input -p icmp --icmp-type echo-request -j drop
#僅禁止入站的ping請求,不拒絕入站的ping回應包.。
[root@proxy ~]# iptables -p icmp --help
三:防火牆擴充套件規則
iptables在基本過濾條件的基礎上還擴充套件了很多其他條件,在使用時需要使用-m引數來啟動這些擴充套件功能,語法如下:
iptables 選項 鏈名稱 -m 擴充套件模組 --具體擴充套件條件 -j 動作
根據mac位址過濾
1)根據ip過濾的規則,當對方修改ip後,防火牆會失效
[root@proxy ~]# iptables -f[root@proxy ~]# iptables -i input -s 192.168.4.10 -p tcp --dport 22 -j drop
#設定規則禁止192.168.4.10使用ssh遠端本機
但是,當client主機修改ip位址後,該規則就會失效,注意因為修改了ip,對client主機的遠端連線會斷開。
根據mac位址過濾,可以防止這種情況的發生。
[root@proxy ~]#nmap -sp 192.168.4.10 #通過nmap掃瞄獲取到client主機的mac位址。
[root@proxy ~]# iptables -a input -p tcp --dport 22 -m mac --mac-source 52:54:00:00:00:0b -j drop
#拒絕52:54:00:00:00:0b這台主機遠端本
步驟二:基於多埠設定過濾規則
1)一次需要過濾或放行很多埠時會比較方便
[root@proxy ~]# iptables -a input -p tcp \-m multiport --dports 20,25,80,110,143,16501:16800 -j accept
#一次性開啟20,25,80,110,143,16501到16800所有的埠
1)允許從 192.168.4.10-192.168.4.20 主機ssh遠端登入本機
[root@proxy ~]# iptables -a input -p tcp --dport 22 \-m iprange --src-range 192.168.4.10-192.168.4.20 -j accept
擴充套件:[root@client ~]# man iptables-extensions //檢視擴充套件模組的幫助手冊
四、配置snat實現共享上網
4.10——》4.5+2.5——》2.100
** 結果(4.10在上網)
——————————————————
4.10——》4.5+2.5——》2.100
**+位址轉換 結果(2.5在上網)
設定防火牆規則,實現ip位址的偽裝(snat源位址轉換)
1)確保proxy主機開啟了路由**功能
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forwar
2)設定防火牆規則,實現snat位址轉換
[root@proxy ~]# iptables -t nat -a postrouting \
-s 192.168.4.0/24 -p tcp --dport 80 -j snat --to-source 192.168.2.5
3)訪問測試:
[root@client ~]# curl //可以在web1主機的日誌檔案裡看到不再是4.10訪問**主機,而是2.5在訪問。
總結:正常情況下來說,有了selinux機制的安全防護,就不需要iptables。但在實際操作過程中,由於selinux的限制過於多,所以正常情況下都是關閉selinux機制的,而iptable機制靈活,並且不影響其操作。所以一般都採用iptable機制。作為安全機制的一種型別。
所以掌握iptable是一種比較好的防護。
kill系統內的命令,可以通過抓包並且分析其資料,可以提到一種另類的防護機制。
我們可以通過禁用mac位址來防止黑客的進攻。
由於linux是天生的軟路由,所以我們可以通過設定snat實現共享上網,並且通過位址的轉換。有效的防護linux的安全。
架構師的成長之路初片
centos6與centos7的對比 檔案系統 centos6 centos7 檔案系統 ext4的單個檔案系統容量達到1eb,單個檔案大小達到16tb xfs預設支援8eb減1位元組的單個檔案系統,最大可支援檔案大小9eb,最大檔案系統尺寸為18eb 防火牆iptables firewalld 核...
架構師的成長之路初片 NTP
ntp協議 思路 建立乙個以a機為標準時間的機器,讓它用來同步其他機器伺服器的標準時間。a機又以 國家授時中心的ip位址 進行時間同步,ip 210.72.145.39 也可以選擇其他的時間伺服器。大多數選擇阿里雲,華為雲.的時間伺服器進行同步 stratum 分層設計 總層數限制在15層以內 包括...
架構師的成長之路初片 NFS
nfs 共享資料服務 包名 nfs utils 系統服務 nfs server 此服務 nfs server 依賴rpcbind服務,在重啟此服務時,需要多重啟乙個服務 rpcbind 服務 b機器 可將共享的資料夾掛載到 mnt my nfs,可實現資料同步。開機自啟 etc fstab 192....