Linux iptables防火墻(二)

2018-07-31 14:42 更新

防偽碼:要輸就輸給追求,要嫁就嫁給幸福

                                    第十一章 iptables防火墻(二)

前言:本章我們來學習使用iptables做網關服務器,并使用NAT功能共享上網以及發(fā)布服務器,和我們之前學過的nat原理完全一樣,所以本章主要就是實驗操作了。最后我們在再寫個防火墻腳本(快速部署防火墻規(guī)則),加綜合實戰(zhàn)演練。

一、SNAT策略

SNAT和我們在路由器上做的PAT是一樣的,為了局域網接入internet,原理就不說了,直接做實驗。

1、實驗環(huán)境

在虛擬機上簡化為如下圖

2、在網站服務器上搭建網站

3、在internet測試機上同樣搭建網站

4、在網關服務器上添加兩塊網卡,分別是eth0:192.168.1.1和eth1:173.16.16.1,然后開啟路由轉發(fā)功能:

5、在網關服務器上配置SNAT策略

6、在內部網站服務器上訪問http://173.16.16.16

7、到internet測試機上查看日志,發(fā)現訪問者不是192.168.1.7,而是173.16.16.1就對了

cat  /usr/local/httpd/logs/access_log

二、DNAT策略

DNAT策略與我們之前學習過的靜態(tài)nat是一樣的,可以一對一,也可以端口映射,主要目的是為了發(fā)布服務器。

1、實驗環(huán)境和上一個實驗一樣

2、在網關服務器上執(zhí)行DNAT命令

3、在internet測試機上訪問:173.16.16.1,打開的網站是192.168.1.7

三、發(fā)布企業(yè)內部的ssh服務器

實驗要求:2345端口對應網關服務器,2346端口對應網站服務器

1、實驗環(huán)境:和上一個實驗一樣

2、在網關服務器和網站服務器分別開啟2345和22端口的ssh

1)在網關服務器開啟2345(vim /etc/ssh/sshd_config)

2)網站服務器只需要開啟sshd服務即可,默認端口就是22

2、在網關服務器上設置DNAT策略

3、在internet測試機上進行ssh測試

使用ssh  -p  2345 root@173.16.16.1連接上的是網關服務器

使用ssh -p root@173.16.16.1連接上的是網站服務器

四、規(guī)則的導入、導出

前言:備份可以把配置過的防火墻規(guī)則存儲到一個位置,當更換防火墻或者規(guī)則出錯的情況下,可以迅速恢復。

1、執(zhí)行iptables-save命令導出linux防火墻規(guī)則。

例如:

1)在網站服務器上查看防火墻規(guī)則

2)然后執(zhí)行備份

3)把網站服務器上的規(guī)則全部刪除

4)執(zhí)行iptables-resore命令恢復,恢復之后查看規(guī)則已經還原。

2、使用iptables服務備份恢復防火墻規(guī)則

把iptables-save的備份存儲到/etc/sysconfig/iptables,然后就可以通過iptables服務快速恢復,每次開機后就自動重建。如果想恢復規(guī)則的時候,就直接重新啟動iptables服務即可。

1)執(zhí)行下面的命令把規(guī)則存儲到服務文件中

2)然后把防火墻規(guī)則刪除

3)執(zhí)行service iptables  restart就可以恢復規(guī)則

4)如果想清空規(guī)則的時候,除了執(zhí)行iptables -F,也可以停止防火墻服務。

五、使用防火墻腳本

使用腳本可以快速部署防火墻規(guī)則,當需要配置多臺防火墻的時候,使用腳本可以快速生成規(guī)則,提高工作效率。

例如:將output鏈中的默認策略設置為允許,不添加其他規(guī)則,將input鏈的默認策略設置為拒絕,只放行對個別服務的訪問,以及響應本機訪問請求的數據包。

1)Vi /opt/myipfw.hostonly

2)執(zhí)行腳本

3)查看規(guī)則

綜合實戰(zhàn):

實驗環(huán)境:

需求描述:

使用SNAT策略實現共享上網

使用DNAT策略發(fā)布Web服務、SSH服務

實現思路:

注意清空原有防火墻規(guī)則

正確準備好實驗環(huán)境,網關中打開IP轉發(fā)

正確設置SNAT、DNAT規(guī)則

一、準備實驗環(huán)境

1、正確配置各主機的網絡參數(ip地址,子網掩碼)

2、網段192.168.1.0/24中的主機將默認網關設為192.168.1.1

3、在網站服務器192.168.1.7上添加測試賬號wzadm,啟用web服務,ssh服務

4、在Internet測試機173.16.16.16中啟用web服務,去掉默認網關設置

二、配置Linux網關服務器

1、打開路由轉發(fā)功能

2、添加SNAT策略,使局域網段192.168.1.0/24能上網

3、添加DNAT策略,使用公網地址173.16.16.1、端口80,發(fā)布內網主機192.168.1.7中的web服務

4、添加DNAT策略,使用公網地址173.16.16.1、端口2222,發(fā)布內網主機192.168.1.7中的OpenSSH服務

三、驗證實驗效果

1、在網站服務器192.168.1.7中,能夠訪問173.16.16.16,并且查看主機173.16.16.16的web訪問日志時,所記錄的客戶機是173.16.16.1

2、在Internet測試機173.16.16.16中,能夠訪問173.16.16.1,顯示為網站服務器192.168.1.7中的網頁

3、在Internet測試機173.16.16.16中,能夠通過173.16.16.1的2222端口進行SSH遠程登錄,以網站服務器192.168.1.7中的wzadm用戶進行驗證,登錄后查看當前ip應該是192.168.1.7


謝謝觀看,希望能真心的幫到您!

本文出自 “一盞燭光” 博客,謝絕轉載!

以上內容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號