架构师的成长之路初片~iptables-下
步骤三:网络型防火墙案例
网络型防火墙案例
部署如表所示的网络拓扑,一定要把proxy主机的路由转发功能打开。
1)、环境准备(在原有环境上继续准备)
client主机:配置网关192.168.4.5
web1:配置网关192.168.2.5
将4.0网段的网卡临时关闭如: nmcli con down 网卡名
2)、在proxy主机上开启路由转发。
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward #开启路由转发
#注意以上操作仅当前有效,计算机重启后无效
[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
#修改/etc/sysctl.conf配置文件,可以实现永久有效规则
[root@proxy ~]# sysctl -p
[root@proxy ~]# iptables -F
3)、在web1主机上启动http服务
[root@web1 ~]# yum -y install httpd
[root@web1 ~]# echo "test page" > /var/www/html/index.html
[root@web1 ~]# systemctl restart httpd
4)、测试
[root@client ~]# curl http://192.168.2.100 //访问成功。
步骤三:禁ping的相关策略
ping的流程(A主机pingB主机)如图-3所示。
1)默认直接禁ping的问题
[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
#设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
#当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃。
2)禁止其他主机ping本机,允许本机ping其他主机
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#仅禁止入站的ping请求,不拒绝入站的ping回应包.。
注意:关于ICMP的类型,可以参考help帮助,参考命令如下:
[root@proxy ~]# iptables -p icmp --help
三:防火墙扩展规则
iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:
iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
根据MAC地址过滤
1)根据IP过滤的规则,当对方修改IP后,防火墙会失效
[root@proxy ~]# iptables -F [root@proxy ~]# iptables -I INPUT -s 192.168.4.10 -p tcp --dport 22 -j DROP #设置规则禁止192.168.4.10使用ssh远程本机 但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开。 根据MAC地址过滤,可以防止这种情况的发生。
[root@proxy ~]#nmap -sP 192.168.4.10 # 通过nmap扫描获取到client主机的MAC地址。 [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 52:54:00:00:00:0b -j DROP #拒绝52:54:00:00:00:0b这台主机远程本
步骤二:基于多端口设置过滤规则
1)一次需要过滤或放行很多端口时会比较方便
[root@proxy ~]# iptables -A INPUT -p tcp \ -m multiport --dports 20,25,80,110,143,16501:16800 -j ACCEPT #一次性开启20,25,80,110,143,16501到16800所有的端口
步骤三:根据IP地址范围设置规则
1)允许从 192.168.4.10-192.168.4.20 主机ssh远程登录本机
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \ -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
扩展:
[root@client ~]# man iptables-extensions //查看扩展模块的帮助手册
四、配置SNAT实现共享上网
4.10——》4.5+2.5——》2.100
转发 结果(4.10在上网)
——————————————————
4.10——》4.5+2.5——》2.100
转发+地址转换 结果(2.5在上网)
设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)
1)确保proxy主机开启了路由转发功能
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forwar
2)设置防火墙规则,实现SNAT地址转换
[root@proxy ~]# iptables -t nat -A POSTROUTING \
-s 192.168.4.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.5
3)访问测试:
[root@client ~]# curl http://192.168.2.100 //可以在web1主机的日志文件里看到不再是4.10访问网站主机,而是2.5在访问。
总结:正常情况下来说,有了selinux机制的安全防护,就不需要iptables。但在实际操作过程中,由于selinux的限制过于多,所以正常情况下都是关闭selinux机制的,而iptable机制灵活,并且不影响其操作。所以一般都采用iptable机制。作为安全机制的一种类型。
所以掌握iptable是一种比较好的防护。
kill系统内的命令,可以通过抓包并且分析其数据,可以提到一种另类的防护机制。
我们可以通过禁用mac地址来防止黑客的进攻。
由于linux是天生的软路由,所以我们可以通过设置SNAT实现共享上网,并且通过地址的转换。有效的防护linux的安全。