使用iptables作为网络防火墙构建安全的网络环境
2016-03-31 22:48
585 查看
前言
一般情况下iptables只作为主机防火墙使用,但是在特殊情况下也可以使用
iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用
iptables对三台服务器的安全进行安全防护
网络防火墙的优势
网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制实验拓扑图
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434698222953.png)
实验环境
主机 | IP地址 | 功用 |
---|---|---|
fire.anyisalin.com | 192.168.2.2,192.168.1.112 | 控制整个网段的数据报文的流入流出及过滤 |
ns.anyisalin.com | 192.168.2.3 | 提供DNS服务 |
ftp.anyisalin.com | 192.168.2.5 | 提供FTP服务 |
www.anyisalin.com | 192.168.2.4 | 提供web服务 |
fire主机,其他主机皆关闭
SElinux和
iptables
实验步骤
FTP,
WEB,
DNS服务器安装配置这里就不写了,有兴趣的看我以前的博客AnyISalIn的文章
防火墙未设置前对所有服务器的测试
以下操作在192.168.1.103进行
dns服务能够正常使用
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434787718115.png)
ftp服务能够正常使用
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434796915145.png)
web服务能够正常使用
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434810594533.png)
针对不同服务器进行”非法”访问
我们对dns,web.ftp服务器分别进行
ping,
ssh等操作
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434847247823.png)
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434852625530.png)
定义网络防火墙规则
大家应该够知道,服务器开放的端口越多就越危险,所以我们在网络防火墙对其进行规则定义
[root@fire ~]# iptables -P FORWARD DROP #设置FORWARD链默认策略为DROP [root@fire ~]# modprobe nf_conntrack_ftp #装载追踪FTP被动连接模块 [root@fire ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [root@fire ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT [root@fire ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT解释一下上面几条规则的作用第一条规则将
FORWARD链的默认策略设置为
DROP,那么默认所有的数据包将不能通过
FORWARD的转发第二条规则状态
nf_conntrack_ftp模块,使得
iptables能够追踪
FTP链接的状态,使数据连接得以建立第三条意思是状态使
ESTABLISHED和
RELATED允许通过,指的是已建立链接或者追踪链接建立能够通过第四条意思是允许访问目标地址为
192.168.2.0网段,端口为
21/TCP和
80/TCP状态为
NEW能够通过,指的是新的链接能通过第五条是为
DNS查询而添加的规则,指的是允许访问目标地址为192.168.2.3
的地址且目标端口为53/UDP
的NEW`状态能够通过,同指新的链接能够通过
再次针对不同服务器进行”非法”访问
大家看!现在已经不能对服务器进行非法访问了
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434860159795.png)
测试服务器是否可访问
ftp服务能正常访问
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434866225994.png)
web服务能正常访问
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434881660180.png)
dns服务能正常访问
![](http://www.178linux.com/ueditor/php/upload/image/20160331/1459434888801560.png)
总结
本文只做了一些简单的限制,不过足以限制用户只能访问”该访问”的服务,这当然不能运用于生产环境中,毕竟设计简陋,大家笑笑就好作者:AnyISalIn感谢:MageEdu相关文章推荐
- Linux下主机充当防火墙的巧妙应用之iptables
- 系统管理员需知的 16 个 iptables 使用技巧
- Vista 防火墙 Vista Firewall Control v1.0.11 下载
- 收集的ROS防火墙脚本
- AutoRun病毒专杀防火墙 V4.39 绿色版
- 安装防火墙的12个注意事项
- win2008内置防火墙配置方法说明
- FTP服务器的防火墙通用设置规则介绍
- Windows批量添加防火墙例外端口的批处理代码
- Win2003 系统服务器防火墙
- 启用windows默认的防火墙需要注意的地方
- iptables做策略屏蔽QQ与MSN
- windows防火墙支持FTP服务的设置方法
- Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)
- Shell脚本实现监控iptables规则是否被修改
- 修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
- win2003防火墙导致ftp无法使用的解决方法
- Win2003 自带防火墙的设置图文教程