2. 程式人生 > >防火牆配置詳解

防火牆配置詳解

阿新 發佈:2018-12-09

目錄

 

一、首先了解一下查詢防火牆的各種狀態的命令:

二、iptables命令

實驗一、實現讓自己可以ping別人,而別人卻無法ping自己。

實驗二、網路防火牆

實驗三、實現日誌記錄功能

一、首先了解一下查詢防火牆的各種狀態的命令:
 

1、檢視防火牆狀態:

[[email protected] ~]# systemctl status firewalld.service

2、開啟防火牆

[[email protected] ~]# systemctl start firewalld.service

3、關閉防火牆:

[[email protected] ~]# systemctl stop firewalld.service

4、禁止firewall開機自啟動:

[[email protected] ~]# systemctl disable firewalld.service
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

5、在開機時自動啟用:

[[email protected] ~]# systemctl enable firewalld.service
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

6、檢視服務是否開機自啟動:

[[email protected] ~]# systemctl is-enabled firewalld.service 
enabled

7、檢視已經啟用的服務列表:

[[email protected] ~]# systemctl list-unit-files | grep fire
firewalld.service                             enabled

二、iptables命令

1、列出防火牆規則:iptables -L

2、列出防火牆規則,不進行域名解析:iptables -Ln

3、列出防火牆規則的詳細資訊:iptables -Lnv

4、列出防火牆規則對應是第幾條:iptables -nL --line-numbers

5、刪除INPUT表的第二條規則:iptables -D INPUT 2

6、清空防火牆:iptables -F。清空所有策略,但不會影響鏈上的預設策略

7、替換INPUT表第100條策略:iptables -D INPUT -s 192.168.153.1 -j REJECT

8、設定鏈策略:-P,DROP  ,也可以設定為ACCEPT,不能為REJECT。不建議改這個設定!

9、將當前防火牆策略儲存至iptables檔案:iptables-save > iptables

10、將儲存的防火牆檔案iptables新增至策略:iptables-restore < iptables

三、案例

實驗一、實現讓自己可以ping別人,而別人卻無法ping自己。

主機一:

IP172.18.254.131

(在給主機一新增策略前,先試試主機二能不能ping通主機一,)

做實驗前我們最好清空一下防火牆,以免其相互影響(iptables -F)。

新增防火牆策略:

[[email protected] ~]# iptables -A INPUT -p icmp -j REJECT
[[email protected] ~]# iptables -A OUTPUT -p icmp -j REJECT
[[email protected] ~]# iptables -I OUTPUT 1 -p icmp --icmp-type 8 -j ACCEPT
[[email protected] ~]# iptables -I INPUT 1 -p icmp --icmp-type 0 -j ACCEPT

這裡我們用到了icmp模組。icmp說直白一點,就是我們呼叫ping請求用到的模組。icmp-type 8  請求,icmp-type 0  迴應。

簡單解釋一下這幾行程式碼:

(1)拒絕INPUT的ping請求

(2)拒絕OUTPUT的ping請求

(3)插入策略為第一條,允許本機發送ping的請求報文。

(4)插入策略為第一條,允許接收回應報文。

也就是說,我傳送的請求報文,別的主機給我發回應報文,我接收;

別人給我發的請求報文,我直接拒絕接收,拒絕迴應。

主機二:

IP:172.18.252.162

[[email protected] ~]# ping 172.18.254.131
PING 172.18.254.131 (172.18.254.131) 56(84) bytes of data.

他會卡到這裡不動。這是因為我們把報文發給主機一,主機一沒有接受,沒有迴應報文,這樣我們的主機二會一直卡著,直到請求超時才自動結束。

用主機二ping主機一,自然是沒有一點兒問題。

實驗二、網路防火牆

實驗目的:實現內網可以ping外網,外網不可以ping內網。

實驗環境:三臺機器:一臺作為防火牆(firewall),一臺作為我們的內網機器(in),一臺作為我們的外網機器(out)。防火牆機器兩個網絡卡,一個連線內網,一個連線外網;內網機器一個網絡卡,外網機器一個網絡卡。最好自己把網絡卡設定成同一個網段,注意掩碼一定要相匹配,不然會影響實驗。

firewall:172.18.252.162/16  192.168.32.222/24
in  192.168.32.216/24   out   172.18.254.66/16

實驗前,請先清理一下防火牆,以確保本實驗不受其他條件的影響。

一、在firewall機器上開啟IP轉發功能

這裡有三種方法提供給大家:

1、臨時開啟IP轉發,重啟後失效。

sysctl -w net.ipv4.ip_forward=1

2、直接寫/proc檔案系統 

echo 1 > /proc/sys/net/ipv4/ip_forward

3、編寫配置檔案

[[email protected] ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

二、在in機器上新增路由

[[email protected] ~]# route add default gw 192.168.32.0/24

三、在out機器新增路由

[[email protected] ~]# route add default gw 172.18.0.0/16

四、在防火牆機器新增策略

這裡又有三種方法:

1、

[[email protected] ~]# iptables -A FORWARD -j REJECT
[[email protected] ~]# iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.254.66/16 -p icmp --icmp-type 8 -j ACCEPT
[[email protected] ~]# iptables -I FORWARD -s 172.18.254.66/16 -d 192.168.32.222/24 -p icmp --icmp-type 0 -j ACCEPT​

2、

[[email protected] ~]# iptables -A FORWARD -j REJECT
[[email protected] ~]# iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.254.66/16 -p icmp --icmp-type 8 -j ACCEPT
[[email protected] ~]#  iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT​

3、

[[email protected] ~]# iptables -A FORWARD -j REJECT
[[email protected] ~]#  iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.0.0/16 -p icmp -m state --state NEW -j ACCEPT
[[email protected] ~]#  iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT​

五,測試

在內網主機ping外網主機,在外網主機ping內網主機。

實驗三、實現日誌記錄功能

命令引數很簡單:-j LOG

實驗要求:兩臺主機

一、主機一

[[email protected] ~]# iptables -F
[[email protected] ~]# setenforce 0
setenforce: SELinux is disabled
[[email protected] ~]# iptables -I INPUT -p tcp --dport 80 -j LOG --log-prefix "NEW CONNECTION:"
[roo[email protected] ~]# systemctl start httpd
[[email protected] ~]# tailf /var/log/messages

 清空防火牆,關閉selinux,為80埠新增一條策略:啟用LOG功能,字首是NEW CONNECTION。啟動httpd服務,動態檢視日誌檔案

 主機二、

訪問主機一的80埠

[[email protected] ~]# curl 172.18.252.162

這時候我們再去看主機一

[[email protected] ~]# tailf /var/log/messages
Oct 26 22:40:01 localhost systemd: Started Session 18 of user root.
Oct 26 22:40:01 localhost systemd: Starting Session 18 of user root.
Oct 26 22:50:01 localhost systemd: Started Session 19 of user root.
Oct 26 22:50:01 localhost systemd: Starting Session 19 of user root.
Oct 26 22:56:30 localhost kernel: NEW CONNECTION:IN=ens34 OUT= MAC=00:0c:29:4e:8d:a5:00:0c:29:54:fb:bc:08:00 SRC=192.168.32.216 DST=172.18.252.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=40342 DF PROTO=TCP SPT=51866 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 
Oct 26 22:56:30 localhost kernel: NEW CONNECTION:IN=ens34 OUT= MAC=00:0c:29:4e:8d:a5:00:0c:29:54:fb:bc:08:00 SRC=192.168.32.216 DST=172.18.252.162 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=40343 DF PROTO=TCP SPT=51866 DPT=80 WINDOW=229 RES=0x00 ACK URGP=0

 看到了吧,日誌已經記錄在案,並且已經加上了字首。

實驗環境:兩臺機器,一臺作為防火牆(兩個網絡卡),一臺做內網機器(一個網絡卡)。

firewall:172.18.252.162/16  192.168.32.222/24
in  192.168.32.216/24

一、在防火牆機器上操作

[[email protected] ~]# iptables -F
[[email protected] ~]# iptables -t nat -F
[[email protected] ~]#  iptables -t nat -A POSTROUTING -s 192.168.32.0/24 -j SNAT --to-source 172.18.252.162

二、在內網機器測試

[[email protected] ~]# ping 119.75.217.109
PING 119.75.217.109 (119.75.217.109) 56(84) bytes of data.
64 bytes from 119.75.217.109: icmp_seq=1 ttl=53 time=22.1 ms

這裡我們給了一個百度的IP地址:119.75.217.109

三、附加操作

我們ping通了百度,但是是以誰的身份呢?為了加深理解,我們再新增一臺試驗機,這一次我們的網絡卡設定為172.18.254.66/24

拿我們的內網機器ping一下我們新增的試驗機:

[[email protected] ~]# ping 172.18.254.66
PING 172.18.254.66 (172.18.254.66) 56(84) bytes of data.
64 bytes from 172.18.254.66: icmp_seq=1 ttl=63 time=0.383 ms
64 bytes from 172.18.254.66: icmp_seq=2 ttl=63 time=0.359 ms

就這麼讓他ping著。這時候,我們再去我們新增的這臺試驗機上操作:

[[email protected] ~]# tcpdump -i ens33 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
15:18:06.498058 IP 172.18.252.162 > 172.18.254.66: ICMP echo request, id 6142, seq 1, length 64
15:18:06.498140 IP 172.18.254.66 > 172.18.252.162: ICMP echo reply, id 6142, seq 1, length 64

看到了吧,他顯示的地址正是我們防火牆機器的IP,而不是我們內部網路的IP地址!

 

知識共享,允許轉載!不足之處希望您能完善完善!

 

 

 

 

 

 

相關推薦

防火牆配置

目錄   一、首先了解一下查詢防火牆的各種狀態的命令: 二、iptables命令 實驗一、實現讓自己可以ping別人,而別人卻無法ping自己。 實驗二、網路防火牆 實驗三、實現日誌記錄功能 一、首先了解一下查詢防火牆的各種狀態的命令:   1

Juniper netscreen防火牆SNMP配置

一、配置snmp協議 1、進入圖形化配置介面,通過http://ip地址,在主選單中點選configuration,選擇Report Settings,然後點選snmp。 2、在System Contact框中填寫系統管理員的聯絡方式,比如姓名等,在location處填寫此裝置的使用地點。選擇“Enable

cisco asa(asa5510 設定)防火牆配置

今天在一個客戶那邊配置的 asa5510(config)#             asa5510(config)# show run : Saved : ASA Version 7.0(7)  ! hostname asa5510 主機名domain-name 1

linux防火牆iptables的原理及配置

一:前言 防火牆,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬體的或者軟體的防火牆兩種。無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略,規則,以達到讓它對出入網路的IP、資料進行檢

linux網路防火牆-iptables配置

Chain RH-Firewall-1-INPUT (0 references) target       prot opt source                 destination          ACCEPT       all    --    0.0.0.0/0             

setting.xml 配置

校驗 找不到 順序 裁剪 全局 -- mls leg 觸發 文件存放位置 全局配置: ${M2_HOME}/conf/settings.xml 用戶配置: ${user.home}/.m2/settings.xml note:用戶配置優先於全局配置。${user.home}

【Spring】Spring MVC原理及配置

進行 return sub sca scrip uil 線程安全 松耦合 必須 1.Spring MVC概述: Spring MVC是Spring提供的一個強大而靈活的web框架。借助於註解,Spring MVC提供了幾乎是POJO的開發模式,使得控制器的開發和測試更加簡

kafka參數配置

kafka 參數 broker.idbroker的唯一標識符,如果不配置則自動生成,建議配置且一定要保證集群中必須唯一,默認-1log.dir日誌數據存放的目錄,默認/tmp/kafka-logslog.dirs日誌數據存放的目錄,如果沒有配置則使用log.dir,建議此項配置。zookeeper.c

Lnux系統網卡綁定配置

ole osd 接口 當前 onf prim multi pac lin 一、CentOS 配置網卡綁定(bonding) 1、bonding概述 (1)作用:就是將多塊網卡綁定同一IP地址對外提供服務,可以實現高可用或者負載均衡。當然,直接給兩塊網卡設置同一IP地址是不可

Nginx配置

set 文件結構 時也 解決方案 ces 反向代理服務器 use 力量 第三方模塊 最近在搞nginx和tomcat 以及apache的集群。下面是參考的一片很不錯的關於nginx配置的詳細講解: http://www.cnblogs.com/knowledgesea/p/

Apache配置

搜索 相對 第一個 form 執行權限 php 時有 多個 direct Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。 主站點的配置(基本配置) (1) 基本配置: ServerRoot "/mnt/softwa

緩存varnish的管理及配置

啟動 一個 hint 單位 quad spec int rom try 一 工作原理 在當前主流的Web服務架構體系中,Cache擔任著越來越重要的作用。常見的基於瀏覽器的C/S架構,Web Cache更是節約服務器資源的關鍵。而最近幾年由FreeBSD創始人之一Kamp開

日誌配置

lin XML html表格 記錄 文件中 對齊方式 oca read val #①配置根Logger,其語法為: # #log4j.rootLogger = [level],appenderName,appenderName2,... #level是日誌記錄的優先級,分為

phpmyadmin配置

php phpmyadmin配置文件中的一個,路徑為libraries/config.default.php,可以修改若幹配置,其中,only_db可以配置在web端顯示的數據庫本文出自 “12968673” 博客,請務必保留此出處http://12978673.blog.51cto.com/1296867

DNS配置 bind實現正向解析和反向解析

cell 8.4 -s intern 資源記錄 ted borde linux系統 ans DNS是域名服務(Domain Name Service),負責把域名解析成IP地址(正向解析)或者把IP地址解析為域名(反向解析)。 DNS查詢過程: 假設我們要訪問www.a

MySQL5.6 數據庫主從(Master/Slave)同步安裝與配置

inux bind 主從配置 希望 master 強調 數據庫主從 ria 配置文件 目錄(?)[+] 安裝環境 操作系統 :CentOS 6.5 數據庫版本:MySQL 5.6.27 主機A:192.168.1.1 (Master) 主機B:192.168.

web緩存服務器varnish-4.1.6的部署及配置

是否 次數 tool 至少 hits 檢查 rep nat list web緩存服務器varnish-4.1.6的部署及配置詳解 1.安裝varnish4.1.6安裝依賴 yum install -y autoconf automake jemalloc-devel li

web.xml配置

知識 其他 location 參數 pin systems doctype doc clu web.xml配置詳解 引文: 對於一個J2EE領域的程序員而言,基本上每天都會和web應用打交道。 什麽是web應用?最簡單的web應用什麽樣?給你一個web應用你該從何入手

mybatis一對一映射配置

技術分享 iat rom cti 加載 文件中 src 裏的 new 聽說mybatis一對一有三種寫法,今天我試了一下。 數據庫表準備 為了偷懶,我直接就拿用戶權限菜單裏的菜單表和菜單與權限的中間表做實現,他們原來是多對多的關系,這邊我假設這兩張表是一對一。 表 g

CentOS Apache配置

先來 page over oca 基於ip chmod 程序 ror 接收 要想在linux上實現網頁服務器(www)需要Apache這個服務器軟件,不過Apache僅能提供最基本的靜態網站數據而已,想要實現動態網站的話,最好還是要PHP與MySQL的支持,所以下面我們將會