前言

專注于為中小企業(yè)提供網站設計制作、網站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)臨泉免費做網站提供優(yōu)質的服務。我們立足成都，凝聚了一批互聯(lián)網行業(yè)人才，有力地推動了上千余家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網站建設實現規(guī)模擴充和轉變。

---

本文旨在復習iptables FORWARD表的相關知識，構建簡易實驗環(huán)境，實現通過iptables構建網絡防火墻。

iptables實現的防火墻功能：

    主機防火墻：服務范圍為當前主機

    網絡防火墻：服務范圍為局域網絡

1. 實驗拓撲

---

2. 主機規(guī)劃

---

主機名	角色	網卡	IP地址
node1	內網主機	vmnet2：eno16777736	192.168.11.2/24
node2	網關主機	vmnet2：eno16777736 橋接：eno33554984	192.168.11.1/24 172.16.52.52/16
node3	外網主機	橋接：eno16777736	172.16.52.53/16

 說明：

 node1 添加一條默認網關指向192.168.11.1

route add default gw 192.168.11.1

 node2 要開啟ip_forward功能

  sysctl -w net.ipv4.ip_forward=1

 內網要與外網通訊node3還要添加一條指向192.168.11.0/24網絡路由

route add -net 192.168.11.0/24 gw 172.16.52.52

3.測試實驗環(huán)境

---

node1：開啟httpd服務，測試node3能否訪問

[root@node3 ~]# ping 192.168.11.2
PING 192.168.11.2 (192.168.11.2) 56(84) bytes ofdata.
64 bytes from 192.168.11.2: icmp_seq=1 ttl=63 time=0.467 ms
64 bytes from 192.168.11.2: icmp_seq=2 ttl=63 time=0.502 ms

[root@node3 ~]# curl 192.168.11.2
<h2>node1 apache sit<h2

4. 構建iptables網絡防火墻

---

4.1 拒絕所有請求

[root@node2 ~]# iptables -A FORWARD -j DROP

4.2 開放所有ESTABLISED,RELATED的請求

[root@node2 ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

4.3 開放從內網到外網所有為NEW的請求

[root@node2 ~]# iptables -I FORWARD 2 -s192.168.11.0/24 -m state --state NEW -j ACCEPT

[root@node2 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 113 packets, 9316 bytes)
 pkts bytes target     prot opt in     out     source               destination         
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   37  3108 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    3   236 ACCEPT     all  --  *      *       192.168.11.0/24      0.0.0.0/0            state NEW
  696 58080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain OUTPUT (policy ACCEPT 44 packets, 4040 bytes)
 pkts bytes target     prot opt in     out     source               destination

 現在內網是可以訪問外網的，但是外網進來的所有請求都被拒絕

4.4 開放從外到內的21端口，22端口，23端口，80端口，狀態(tài)為NEW的請求

[root@node2 ~]# iptables -I FORWARD 3 -d 192.168.11.2 -p tcp -m multiport --dports 21:23,80 -m state --state NEW -j ACCEPT

 node3：ftp測試訪問:

[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls             
`ls' at 0 [Making data connection...]

 RELATED狀態(tài)已經追蹤，21號端口已經開放，為什么還是不能訪問？因為nf_conntrack_ftp 模塊沒有加載

 加載nf_conntrack_ftp 模塊：

[root@node2 ~]# modprobe nf_conntrack_ftp

[root@node3 ~]# lftp 192.168.11.2
lftp 192.168.11.2:~> ls
drwxr-xr-x   
2 0        0               6 Nov 20  2015 pub

總結：網關防火墻iptables策略做的是白名單，默認拒絕所有，只有開放的服務，外網才能訪問。內網訪問外網沒有特殊情況一般為允許。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站名稱：Iptables番外篇-構建網絡防火墻-創(chuàng)新互聯(lián)
分享鏈接：http://aaarwkj.com/article12/dihcdc.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網站策劃、建站公司、定制開發(fā)、電子商務、品牌網站制作

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)