資源描述:
《rh253 linux服務器架設筆記十-iptables防火墻》由會員上傳分享,免費在線閱讀����,更多相關內(nèi)容在行業(yè)資料-天天文庫。
1�、RH253Linux服務器架設筆記十-Iptables防火墻其實不論從nat,包過濾�����,ALG�,穩(wěn)定性,安全性����,來說,用linux做一個防火墻�,是一個不錯的規(guī)劃,當然還有價格Iptables防火墻原理防火墻技術分為三種1��、包過濾,在ACL中使用ip地址或端口號進行過濾2�、ALG,應用層網(wǎng)關�����,工作類是代理服務器�����,linux的squid和win的ISA都是出色的ALG3�、狀態(tài)化包過濾,使用ACL�,通過了解連接狀態(tài)來確定訪問行為iptables支持包過濾和狀態(tài)化包過濾具體防火墻技術相當深奧,不是一言兩語可以說清楚我們用一個實例來分析吧
2�����、,這個需要對路由和nat要有一定了解才行實例1:一個企業(yè)使用linux作為網(wǎng)管和防火墻,如果難度再大點就加個DMZ區(qū)域這樣就要3塊網(wǎng)卡通過了解DMZ特性1����、不可以訪問內(nèi)網(wǎng)2、內(nèi)網(wǎng)和外網(wǎng)可以訪問3�、不可以訪問外網(wǎng)通過這三個特性配置DMZ的網(wǎng)段就可以了DMZ是不允許訪問內(nèi)網(wǎng)的,避外網(wǎng)通過攻破DMZ�����,進而攻擊內(nèi)網(wǎng)DMZ位于網(wǎng)絡的哪個位置�����?內(nèi)網(wǎng)和外網(wǎng)之間在硬件設備上就是他自動幫你實現(xiàn)了這些功能�,在linux就需要你了解原理,然后自己手動配置��,達到相同的效果如果涉及到DMZ的話���,肯定還會有狀態(tài)化包過濾好像說深了點點,我們繼續(xù)剛才的課題作
3��、為網(wǎng)關需要設置全局的默認網(wǎng)關到外面那個網(wǎng)卡eth1內(nèi)網(wǎng)我們使用eth0內(nèi)網(wǎng)所有主機網(wǎng)關指向linux的eth0的IP地址,然后在服務器打開ip轉發(fā)vim/etc/sysctl.conf他是內(nèi)存正在運行的一些參數(shù)的配置文件,禁ping那個參數(shù)可以寫到這里,每次開機讀取net.ipv4.ip_forward=0值改成1更新系統(tǒng)內(nèi)核參數(shù)sysctl-p現(xiàn)在我們的IP包已經(jīng)可以出到廣域網(wǎng)了���,但是廣域網(wǎng)上的路由器會丟棄我們內(nèi)網(wǎng)的IP地址,所以我們要做nat好了,開始說到iptables了要做nat就需要用到iptables的nat表我們
4��、是從里面到外面的包��,所以要修改源IP,就叫做源NAT紅帽的官方教材上講iptables也是用的這個圖我們要出去�,就是postrouting現(xiàn)在我們來配置這條命令iptables-tnat-APOSTROUTING-oeth1-s192.168.8.0/24-jMASQUERADE我們來講解這條命令iptables是命令本身-t是執(zhí)行表,iptables有兩個表,一個是filter:過濾的表一個是nat���,就是NAT表����,NetworkAddressTranslator然后-A,-A的意思就是添加一條鏈這里添加的鏈是POSTROUT
5�、ING鏈,就是源NAT-o是出去的網(wǎng)卡設備,我們使用的是eth1網(wǎng)卡-s是源地址,我們設置內(nèi)網(wǎng)的192.168.8.0/24網(wǎng)段-j是動作,MASQUERADE動態(tài)源地址轉換(動態(tài)IP的情況下使用)如果我們使用的靜態(tài)外網(wǎng)地址�,就可以這樣寫iptables-tnat-APOSTROUTING-oeth1?-j?SNAT--to?1.1.1.1?把出去的地址都轉換成1.1.1.1好了,現(xiàn)在內(nèi)網(wǎng)用戶可以通過linux網(wǎng)關上網(wǎng)了這個時候我們?yōu)榱吮WC內(nèi)網(wǎng)安全�����,我們就需要控制進來的包了現(xiàn)在我們不考慮DMZ����,或者是內(nèi)部有服務器的問題,這樣,
6����、外部進來的包,我們默認都要丟棄比方說,你的代理:192.168.0.1而我的pc在另外一個網(wǎng)段,192.168.8.88??gw192.168.8.188這樣的話就還需要一個網(wǎng)卡了,通過這個網(wǎng)卡來路由撒為了防止外網(wǎng)偽裝內(nèi)網(wǎng)IP進行攻擊���。私網(wǎng)地址的范圍如下:10.0.0.0~10.255.255.255172.16.0.0~172.31.255.255192.168.0.0~192.168.255.255127開頭的(lookback地址)169.254開頭的(WINDOWS保留地址)先要把10.0.0.0172.16-31.0
7�����、.0192.168.0.0全部禁止�,這幾條放在最上面然后再考慮對外要開放的端口號,最后默認策略要是DROP變成命令就是這樣iptables-tfilter-AINPUT-s10.0.0.0/8-jDROPiptables-tfilter-AINPUT-s172.16.0.0/16-jDROPiptables-tfilter-AINPUT-s172.17.0.0/16-jDROP省略iptables-tfilter-AINPUT-s192.168.0.0/24-jDROP這樣把私有網(wǎng)段先全部禁止了現(xiàn)在外網(wǎng)的私有網(wǎng)段已經(jīng)ping不
8�、通eth1網(wǎng)卡了而內(nèi)網(wǎng)192.168.8.0/24網(wǎng)段正常然后我們開放一個80端口iptables-tfilter-AINPUT-ptcp-ieth1--dport80-jACCEPT允許所有IP,當然上面禁止的私有IP不行���,都可以訪問eth1接口IP的80端口然后就是最后一
