随笔- 454 文章- 302 评论- 28 阅读- 65万

1,手动执行iptables命令配置企业生产环境下的防火墙

生产环境配置逐级防火墙的两种模式；

逛公园及看电影两种模式

逛公园：默认随便进出，对非法的分子进行拒绝；企业应用：企业配置上网网关路由

看电影，默认没票进不去。花钱买票才能看电影，企业应用：服务器主机防火墙

很显然，第二种更严格，更安全。

本质就是防火墙的默认规则是允许还是拒绝。

看电影模式：

iptables -F 清除当前所有链的规则

iptables -F 和 iptables --flush命令同，即可以使用短格式也可以使用长格式，

iptables -Z 清除当前所有链的计数器

iptables -X 删除用户自定义的链

配置一个企业防火墙，并设置允许本机通信规则

[root@ipt ~]# iptables -F
[root@ipt ~]# iptables -X
[root@ipt ~]# iptables -Z
[root@ipt ~]# iptables -A INPUT -p tcp  --dport 22 -s 10.0.0.0/24  -j ACCEPT
[root@ipt ~]# iptables -A INPUT -i lo -j ACCEPT
[root@ipt ~]# iptables -A INPUT -o lo -j ACCEPT  
[root@ipt ~]# iptables -A OUTPUT -o lo -j ACCEPT

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

允许合法的进入：

iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT 
iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT    
iptables -A INPUT -s 203.83.24.0/24 -p all -j ACCEPT 
iptables -A INPUT -s 201.82.34.0/24 -p all -j ACCEPT 
iptables -A INPUT -p tcp --dprot 80 -j ACCEPT
允许外面人ping
iptables -A INPUT -p icmp --icmp-type 8  -j ACCEPT

#others RELATED ftp协议
#允许关联的状态包
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

端口扫描：

局域网共享的两条命令方法：

方法1：适合于有固定外网地址的：
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.7
(1)-s 192.168.1.0/24 办公室或IDC内网网段。
(2)-o eth0 为网关的外网卡接口。
(3)-j SNAT --to-source 10.0.0.19 是网关外网卡IP地址。
方法2：适合变化外网地址（ADSL）：
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE 伪装。