linux下iptables配置上
| ~]# iptables -P OUTPUT DROP [root@song ~]# iptables -P FORWARD DROP [root@song ~]# iptables -L Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination 下面我们以一个简单的实例来联系下测试下我们的功力到“第几段“了 呵呵 实验环境 内网: ftp http telnet 10.0.2.100 外网 : 10.0.3.100 Firewall : ssh eth0 10.0.2.1 eth1 :10.0.3.1 要求:内外网之间可以相互ping通,外网可以访问内网的httpd,ftp服务 ,其中的ftp服务只能在有请求时服务器才相应.只允许内网无限制访问firewall的ssh服务. 我们来一条一条的实现 配置firewall 1外网可以访问内网的httpd,ftp服务 [root@song ~]# vim /etc/sysctl.conf 开启firewall路由功能 [root@song ~]# sysctl –p 重读配置文件,临时开启路由功能 net.ipv4.ip_forward = 1 为1时表示开启路由功能 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route = 0 kernel.sysrq = 0 kernel.core_uses_pid = 1 net.ipv4.tcp_syncookies = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 4294967295 kernel.shmall = 268435456 设置默认规则为DROP [root@song ~]# iptables -P INPUT DROP [root@song ~]# iptables -P OUTPUT DROP [root@song ~]# iptables -P FORWARD DROP [root@song ~]# iptables –L 查看设置 拥有帝国一切,皆有可能。欢迎访问phome.net Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination 1使相互之间可以ping 通 [root@song ~]# iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT [root@song ~]# iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT 测试 [root@station7 shared]# ping 10.0.2.100 PING 10.0.2.100 (10.0.2.100) 56(84) bytes of data. 64 bytes from 10.0.2.100: icmp_seq=1 ttl=63 time=130 ms [root@congtou pub]# ping 10.0.3.100 PING 10.0.3.100 (10.0.3.100) 56(84) bytes of data. 64 bytes from 10.0.3.100: icmp_seq=1 ttl=63 time=176 ms 64 bytes from 10.0.3.100: icmp_seq=2 ttl=63 time=3.33 ms 2外网可以访问内网的httpd服务 [root@congtou ~]# service httpd status 查看httpd服务状态 httpd (pid 4238 4237 4236 4235 4234 4233 4232 4231 4229) is running... [root@congtou ~]# cd /var/www/html/ [root@congtou html]# ls [root@congtou html]# vim index.html [root@congtou html]# elinks 127.0.0.1 自己先测试下看httpd服务是否运行正常 显示出测试页面表示正常 在配置iptables前先在10.0.3.100客户端测试下看下是什么结果 下图可以看出不行.无法连接到httpd服务器 [root@station23 ~]# iptables -A FORWARD -s 10.0.3.0/24 -d 10.0.2.100 从10.0.3.0网段来到10.0.2.100的基于tcp协议目标端口是80的全部接受 > -p tcp --dport 80 -j ACCEPT [root@station23 ~]# iptables -A FORWARD -d 10.0.3.0/24 -s 10.0.2.100 -p tcp --sport 80 -j ACCEPT 与上面的相对应 [root@station23 ~]# iptables -L -n Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination 拥有帝国一切,皆有可能。欢迎访问phome.net 拥有帝国 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
