ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

利用Linux Ipables配置防火墙

2019-06-21 18:51:29  阅读:591  来源: 互联网

标签:网关 Ipables ping 防火墙 网卡 设置 Linux 服务器


一、实验目的

利用linux自带的iptables配置防火墙;完成如下配置:

  1. 阻止任何外部世界直接与防火墙内部网段直接通讯。
  2. 允许内部用户通过防火墙访问外部HTTP服务器,允许内部用户通过防火墙访问外部HTTPS服务器。
  3. 允许内部用户通过防火墙访问外部ftp服务器。

二、实验原理

IPTABLES相关语法与使用:

 

三、实验环境

三台linux RED HOT 6.5,一台作为外网,一台作为网关,一台作为内网。

外网:169.254.144.201

网管网卡1:169.254.42.101

网管网卡2:169.254.144.101

内网:169.254.42.201

 

四、实验步骤

1、配置网关

设置网卡为双网卡,设置具体模式

路径:虚拟机-设置-网络适配器-添加-网络适配器

这里的网络适配器共有两种,将vmnet8设置为连接内网的网卡,vmnet1设置为连接外网的网卡。

关闭VM虚拟机dhcp服务,设置子网信息

在虚拟网络编辑器中分别关闭DHCP服务

设置子网地址,子网掩码

这里的适配器子网地址需要与物理机相应网卡地址相对应,处于同一网段中。

挂载镜像

在虚拟机设置中,指定其所需的镜像文件

终端运行 mount dev/sr0 /mnt  ,实现挂载镜像

查看配置文件

终端输入ifconfig查看配置信息,这里的网卡物理信息后面会用到

cd /etc/sysconfig/network-scripts/  转到网卡配置文件下

这里目前只有一个网卡配置信息,复制生成另一个网卡配置信息

网卡配置信息重命名,这里为了和ifconifg查到的网卡名对应

修改网卡1(连接内网的)eth1配置文件内容

Vim编辑:i:进入编辑     esc:退出编辑     :wq保存并退出

输入vim ifcfg-eth1 进入vim编辑器修改ifcfg-eth1

修改网卡2(连接外网的)eth2配置文件内容

重启网络服务

输入service network restart重启网络服务,成功

设置转发功能

vim /etc/sysctl.conf  将转发由0改为1

此时网关已经可以登录互联网,若不能,再次输入iptables –F和 sentenforce 0,否,则证明上述操作有输错!

2、配置内网

设置网卡模式

①修改网卡为vmnet1

②指定并挂载镜像文件

查看并修改配置文件

①查看

②修改ifcfg-eth0为ifcfg-eth1,与网卡名一致

③修改ifcfg-eth1

Ipaddr后面修改为了169.254.42.201

重启网络服务

尝试ping网卡1

此时虚拟机也可以访问互联网,若不能则检查内网和网关的防火墙规则,或检查上述操作是否出错。

3、配置外网

设置网卡模式

查看并修改配置文件

重启网络服务

Service network restart

尝试ping通网卡2、ping通内网

此时外网也应可以访问互联网,若不能,输入iptables –F和setenforce 0 检查;

 

五、实验结果验证

根据策略设置防火墙规则:

阻止任何外部世界直接与防火墙内部网段直接通讯。

①未设置防火墙规则时,内网可以ping通“外网”、ping通物理机

②网关设置防火墙规则,禁止内网ping物理机(阻止物理机icmp包通过)

③这时内网可以ping通外网、ping不通物理机,证明数据包都是经过网关的,不能直接与内网通讯。

Ping物理机:

Ping外网:

允许内部用户通过防火墙访问外部HTTP服务器,允许内部用户通过。

①网关设置防火墙规则,阻止80端口通信

②这时内网上不了网

③证明内网访问外部http服务器都是通过防火墙(网关)的

防火墙访问外部HTTPS服务器。

①内网可以访问https服务器

②网关设置防火墙规则,阻止443端口通信

③此时内网无法再登录采用了HTTPs协议的网站

允许内部用户通过防火墙访问外部ftp服务器。

①网关设置防火墙规则,阻止20、21端口通信

②这时内网无法访问ftp服务器

③删除规则后,内网可正常访问

 

标签:网关,Ipables,ping,防火墙,网卡,设置,Linux,服务器
来源: https://blog.csdn.net/weixin_44743506/article/details/93214117

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有