iptables 实践

一.拒绝所有主机ping当前主机

 

#iptables -A INPUT -p  icmp -j  ERJECT

#iptables  -ATNPUT  -s  ! 10.0.0.0/24  -p  icmp   --icmp-type  8  -j  REJECT  

 

 

二、本机能够访问别的机器httpd服务，但别的机器无法访问本机

方式一：

#iptables  -AFORWARD  -j  REJECT    #先禁止所有其他机器访问本机

 

#允许本机10.0.0.0/24访问外网192.168.0.0/24

#iptables  -t   nat  -A  POSTROUTING  -s  10.0.0.0/24  -j  SNAT  --to-source 192.168.0.0/24  

或

#iptables  -A  -t  nat  POSTROUTING  -s  l0.0.0.0/24  -p  tcp  --dport  80  -j  MASQUERADE    

 

方式二：

#iptables  -A   INPUT  -p   tcp   --syn  -j  REJECT  

#iptables  -A   INPUT   -m  state  --state  NEW  -j  REJECT

 

 

三、当我们发现有ip恶意攻击我们的时候。我们可以通过防火墙设定规则来进行控制。所以我们可以添加connlimit模块来实现对最大并发的控制。写出步骤

 

#当外部主机访问攻击本主机网站，如果链接数大于10，就拒绝链接

iptables -A INPUT  -d  10.0.0.8  -p tcp --dport 80  -m connlimit --connlimit-above 10  -j REJECT

 

或   #限流,限制icmp协议前十个不受限制，限制后面一分钟通20个，即通一个限制两个（效果比上面较差）

iptables -IINPUT  3 -p  icmp -m  limit --limit 20/minute  --limit-burst  10 -j  ACCEPT

 

 

四、实践题

实验环境

 

现在我在外地出差使用A7互联主机，但是由于公司有业务需要我ssh链接到内网，这时候，我就链接公司同事，在防火墙上配置相关规则让我链接进公司内网

请写出实现过程

 

 

 

 

 

构建网络拓扑图如下：

 

 

 

A7互联网服务器：

eth0  192.168.1.128   仅主机模式

 

防火墙B8：

eth0:192.168.1.129  (仅主机模式)

eth1:  10.0.0.8  （NAT）

 

局域网B8：

eth0:10.0.0.18  （NAT）  GW 10.0.0.8

  

A8防火墙添加规则，允许192.168.0.1访问内网

iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22     -j DNAT --to-destination 10.0.0.18

 

Vim  /etc/sysctl.conf

Sysctl -p

net.ipv4.ip_forward=1

 

 

 

测试创建规则：

[root@A7 ~]# ssh  192.168.1.129

root@B8 password:

[root@B8 ~]#  ssh  192.168.1.128

^C

 

 

测试结果：只能外网访问内网，反之禁止