lqc_基于IP地址，端口的访问控制

基于IP地址，端口的访问控制
实验环境：
某公司的web服务器，网关服务器均采用centos6.5操作系统，为了加强网络访问的安全性，要求管理员熟悉iptables防火墙规则的编写，以便指定有效、可行的主机防护策略。
拓扑：



需求描述：
? 一、为网站服务器编写入站规则
1）允许接收响应本地ping测试请求的各种ICMP数据包
2）允许访问本机中位于80端口的web服务，禁止访问其他端口的TCP请求
3）允许发往本机以建立连接或与已有连接相关的各种TCP数据包
4）禁止其他任何形式的入站访问数据
? 二、为网关服务器编写转发规则
1）允许局域网中的主机访问internet中的web、ftp、dns、邮件服务
2）禁止局域网中的主机访问web.qq.com、w.qq.com、im.qq.com等网站，以防止通过webQQ的方式进行在线聊天
实验步骤
1. 为网站服务器编写入站规则
1）本例中所有规则均在filter表的INPUT链内添加，默认策略设置为DROP



2）使用“-p icmp ！--icmp-type8”的条件匹配非ICMP请求的数据包



3）使用“-p tcp --dport 80”的条件匹配对TCP80端口的访问



4）使用”-p tcp -m state --state ESTABLISHED,RELATED“ 匹配TCP响应数据包



5）测试入站控制效果，从其他主机可以访问本机中的web服务，但不能访问其他任何服务（如FTP、DNS）；从本机可以ping通其他主机，但其他主机无法凭通本机















2. 为网关服务器编写转发规则
1）本例中所有规则均在filter表的FORWARD链内添加，默认策略设置为DROP



2）针对TCP协议的80、20、21、25、110、143端口，以及UDP协议的53端口，分别为从局域网访问internet，从internet响应局域网请求的过程编写转发规则



3）执行DNS查询，获知站点web.qq.com、w.qq.com、im.qq.com当前所用的IP地址包括：112.90.141.88、112.90.141.163、112.90.141.164、58.251.149.159、58.251.60.202、123.138.238.100、123.138.238.101，然后依次针对这些IP地址编写转发规则，禁止到TCP协议的80、443端口的访问
4）测试转发控制效果，从局域网中的主机无法访问internet中的web.qq.com等被封站点，但能够访问其他web站点，也能够访问DNS，FTP等网络服务
总结：