iptables系列教程（三）| iptables 實戰(zhàn)篇

實戰(zhàn)1 服務器禁止ping

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP // 禁止任何人ping通本機

除了上面禁止PING的方法，我們還可以通過修改內核配置實現(xiàn)，如下：

echo net.ipv4.icmp_echo_ignore_all=1 >> /etc/sysctl.conf sysctl -p // 如果允許PING，則將 `ignore_all=1`，修改成 `ingore_all=0` 即可

實戰(zhàn)2 利用iptables保護公司 web 服務器

2.1 web服務器配置：

1、安裝httpd及vsftpd服務 yum -y install httpd yum -y install vsftpd //安裝vsfptd服務目的是為了對比iptables 2、啟動httpd及vsftpd服務 systemctl start httpd systemctl start vsftpd

2.2 客戶端驗證（未配置iptables）

測試web訪問

關注微信公眾號【開源Linux】，后臺回復『10T』，領取10T學習資源大禮包，涵蓋Linux、虛擬化、容器、云計算、網(wǎng)絡、Python、Go等書籍和視頻

測試vsftpd

2.3 配置iptables防火墻策略

iptables -A INPUT -i lo -j ACCEPT // 放行環(huán)回口所有數(shù)據(jù) iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEP // 放行 TCP/22,80 端口 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT // 允許已經(jīng)建立 tcp 連接的包以及該連接相關的包通過 iptables -P INPUT DROP // 設置filter表INPUT鏈默認規(guī)則。當數(shù)據(jù)包沒有被任何規(guī)則匹配時，則按默認規(guī)則拒絕所有

2.4 再次驗證

測試web訪問

測試vsftpd

測試結果正如我們所料：可以正常訪問web服務，但由于iptables規(guī)則未放行ftp相關端口，因此無法訪問ftp服務。

實戰(zhàn)3 利用iptables搭建網(wǎng)關服務器

背景：公司使用雙網(wǎng)卡Linux主機作為網(wǎng)關服務器，其中網(wǎng)卡eth0連接局域網(wǎng)，網(wǎng)卡eth1接入Internet。由于公司只注冊了一個公網(wǎng)IP地址，要求合理配置網(wǎng)關策略，使局域網(wǎng)內的PC機可以通過共享的方式訪問Internet，如下圖所示：

具體實驗步驟，點擊：干貨｜利用iptables搭建網(wǎng)關服務器

實戰(zhàn)4 利用iptables實現(xiàn)端口映射（DNAT）

1、安裝httpd服務 [root@qll252 ~]# yum -y install httpd 2、設置http服務首頁內容 [root@qll252 ~]# echo 10.10.10.2 > index.html 3、啟動httpd服務 [root@qll252 ~]# systemctl start httpd 4、指定qll251為網(wǎng)關 [root@qll252 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 GATEWAY=10.10.10.1 5、重啟網(wǎng)卡服務 [root@qll252 ~]# systemctl restart network

4.2 在qll251上做DNAT

1、開啟內核轉發(fā) echo "net.ipv4.ip_forward = 1" >> etc/sysctl.conf sysctl -p 2、添加iptables規(guī)則 [root@qll252 ~]# iptables -t nat -A PREROUTING -d 20.20.20.20 -p tcp --dport 8000 -j DNAT --to 10.10.10.2:80 3、保存iptables規(guī)則 [root@qll251 ~]# service iptables save

4.3 驗證

結果正如我們所料，瀏覽器上輸入http://20.20.20.20:8000，即可跳轉到qll252的內容，實現(xiàn)端口映射。

結語

關注微信公眾號【開源Linux】，后臺回復『10T』，領取10T學習資源大禮包，涵蓋Linux、虛擬化、容器、云計算、網(wǎng)絡、Python、Go等書籍和視頻

云計算

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。