当前位置: 首页 > news >正文

【Linux】重生之从零开始学习运维之防火墙

ntftables

安装

yum install nftables

清理规则

nft flush ruleset
nft list ruleset

iptables

安装

apt install iptables

检查防火墙效果

iptables -vnL

iptables命令

未加规则

ping 10.0.0.13

加入规则

iptables -A INPUT -s 10.0.0.12 -j DROP

查看规则

iptables -vnL

查看能否ping通
ping 10.0.0.13

清除规则

iptables -F

命令操作

清除规则

iptables -F
iptables -vnL INPUT

确保主机远程连接不被隔绝

iptables -A INPUT -s 10.0.0.1 -j ACCEPT
iptables -vnL INPUT

保存当前的防火墙配置文件

iptables-save > iptables.rules
cat iptables.rules

黑白名单

增加规则

iptables -A INPUT -j REJECT

测试

ping 10.0.0.13

规则取反

增加拒绝12主机规则

iptables -A INPUT -s 10.0.0.12 -j DROP

设置取反规则

iptables -vnL --line-numbers
iptables -R INPUT 1 ! -s 10.0.0.12 -j REJECT

根据目标地址匹配

增加ip

ip a a 10.0.0.110/24 dev ens33 label ens33:110

其他主机ping通

ping 10.0.0.110
ping 10.0.0.13

增加规则
iptables -A INPUT -d 10.0.0.110 -j REJECT
iptables -vnL

测试

ping 10.0.0.110

根据协议过滤

增加规则

iptables -A INPUT -d 10.0.0.110 -p icmp -j REJECT
iptables -vnL

改为禁止ssh通信,其他协议正常

清空规则
iptables -nL INPUT --line-numbers
iptables -D INPUT 2

先测试能否ssh连接
ssh root@10.0.0.110

增加规则
iptables -A INPUT -d 10.0.0.110 -p tcp -j REJECT
iptables -vnL

测试连接
ssh root@10.0.0.110
ping 10.0.0.110

多端口实践

查看关联的模块multiport

ls /usr/lib/x86_64-linux-gnu/xtables/*.so | grep mult

还原规则
iptables-restore < iptables.rules

增加端口规则

iptables -A INPUT -s 10.0.0.12 -d 10.0.0.110 -p tcp -m multiport --dports 22,80 -j REJECT

12主机测试效果

ping 10.0.0.110
ssh root@10.0.0.110
curl 10.0.0.110

iprange 实践

还原规则
iptables-restore < iptables.rules

增加多个ip范围规则

iptables -A INPUT -m iprange --src-range 10.0.0.12-10.0.0.100 -p tcp -m multiport --dports 22,80 -j REJECT
iptables -nL INPUT --line-numbers

12主机测试效果

target

DROP REJECT

还原规则
iptables-restore < iptables.rules

增加规则
iptables -A INPUT -s 10.0.0.12 -j DROP
iptables -A INPUT -s 10.0.0.112 -j REJECT

12主机测试

ping -I 10.0.0.12 10.0.0.13
ping -I 10.0.0.112 10.0.0.13
ping -I 10.0.0.212 10.0.0.13

iptables 中的 NAT

准备工作

12主机

网卡配置
NAT-10.0.0.12

关闭防火墙
systemctl disable --now firewalld.service

修改网关路由

13主机

网卡配置
NAT-10.0.0.13
仅主机-192.168.8.13

关闭防火墙
systemctl disable --now ufw

路由设置
删除默认路由
ip route list
ip route del default

增加路由
ip route add default via 10.0.0.13 dev ens160

开启转发功能(ip_forward)
sysctl -a | grep ip_forward
sysctl -w "net.ipv4.ip_forward = 1"
sysctl -p

14主机

网卡配置
仅主机-192.168.8.14

关闭防火墙
systemctl disable --now firewalld.service

开启nginx
systemctl start nginx
curl 192.168.8.14

增加防火墙规则

增加前效果

ping 192.168.8.14

增加规则
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j SNAT --to-source 192.168.8.13
iptables -t nat -vnL

查看效果

ping 192.168.8.13
ping 192.168.8.14
curl 192.168.8.14

SNAT

实现多出口IP地址转换

修改规则

iptables -t nat -R POSTROUTING 1 -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j SNAT --to-source 192.168.8.100-192.168.8.200
iptables -t nat -vnL POSTROUTING

查看效果

12主机:ping 192.168.8.14
14主机:tcpdump -nn icmp

实现端口转发

修改规则

iptables -t nat -R POSTROUTING 1 -s 10.0.0.0/24 ! -d 10.0.0.0/24 -o ens37 -p tcp --dport 80 -j SNAT --to-source 192.168.8.13:12345

查看效果

12主机:curl 192.168.8.14
14主机:tcpdump -nn 'tcp port 80'

MASQUERADE

实现源IP地址转换

修改规则

iptables -t nat -R POSTROUTING 1 -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE

查看效果

12主机:ping 192.168.8.14
14主机: tcpdump -nn icmp

DNAT

准备工作

12主机

ip route del default
ip route list

13主机

ip route del default

iptables -t nat -F

14主机

ip route add default via 192.168.8.13

实现目标IP地址转换

修改规则

iptables -t nat -A PREROUTING -d 10.0.0.13 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.14:80
如果有tomcat:iptables -t nat -A PREROUTING -d 10.0.0.13 -p tcp --dport 8080 -j DNAT --to-destination 192.168.8.14:80
iptables -t nat -vnL PREROUTING

查看效果

12主机:curl 192.168.8.14
14主机:tcpdump -nn 'tcp port 80'

http://www.lryc.cn/news/617940.html

相关文章:

  • C++ 限制类对象数量的技巧与实践
  • AcWing 6479. 点格棋
  • ​费马小定理​
  • 前端组件库双雄对决:Bootstrap vs Element UI 完全指南
  • Unknown collation: ‘utf8mb4_0900_ai_ci‘
  • 软考 系统架构设计师系列知识点之杂项集萃(121)
  • mysql基础(二)五分钟掌握全量与增量备份
  • OCSSA-VMD-Transformer轴承故障诊断,特征提取+编码器!
  • 视频剪辑的工作流程
  • socket编程TCP
  • 自然语言处理实战:用LSTM打造武侠小说生成器
  • 银河通用招人形机器人强化学习算法工程师了
  • IoT/透过oc_lwm2m/boudica150 源码中的AT指令序列,分析NB-IoT接入华为云物联网平台IoTDA的工作机制
  • openpnp - 顶部相机环形灯光DIY
  • Godot ------ 平滑拖动03
  • 企业高性能 Web 服务部署实践(基于 RHEL 9)
  • Jupyter lab保姆级教程和自动补齐功能实现
  • VMware 安装Ubuntu server 20.04
  • IPCP(IP Control Protocol,IP控制协议)
  • Rust 库开发全面指南
  • 《C++中 type_traits 的深入解析与应用》
  • 10种经典学习方法的指令化应用
  • 使用docker compose 部署dockge
  • 训推一体 | 暴雨X8848 G6服务器 x Intel®Gaudi® 2E AI加速卡
  • 【k近邻】 K-Nearest Neighbors算法k值的选择
  • es基本概念-自学笔记
  • Java多线程并发控制:使用ReentrantLock实现生产者-消费者模型
  • Redis中的AOF原理详解
  • 在 Linux 中通过 yum 安装和使用 Nginx
  • OrbStack 入门教程:macOS 上的轻量级容器与虚拟机管理工具