使用iptables作为网络防火墙构建安全的网络环境
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用iptables作为网络防火墙构建安全的网络环境相关的知识,希望对你有一定的参考价值。
前言
一般情况下
iptables只作为主机防火墙使用,但是在特殊情况下也可以使用iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables对三台服务器的安全进行安全防护
网络防火墙的优势
网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制
实验拓扑图
实验环境
| 主机 | IP地址 | 功用 |
|---|---|---|
| fire.anyisalin.com | 192.168.2.2,192.168.1.112 | 控制整个网段的数据报文的流入流出及过滤 |
| ns.anyisalin.com | 192.168.2.3 | 提供DNS服务 |
| ftp.anyisalin.com | 192.168.2.5 | 提供FTP服务 |
| www.anyisalin.com | 192.168.2.4 | 提供web服务 |
除了fire主机,其他主机皆关闭SElinux和iptables
实验步骤
FTP,WEB,DNS服务器安装配置这里就不写了,有兴趣的看我以前的博客AnyISalIn的文章
防火墙未设置前对所有服务器的测试
以下操作在192.168.1.103进行
dns服务能够正常使用
ftp服务能够正常使用
web服务能够正常使用
针对不同服务器进行”非法”访问
我们对
dns,web.ftp服务器分别进行ping,ssh等操作
定义网络防火墙规则
大家应该够知道,服务器开放的端口越多就越危险,所以我们在网络防火墙对其进行规则定义
[[email protected] ~]# iptables -P FORWARD DROP #设置FORWARD链默认策略为DROP
[[email protected] ~]# modprobe nf_conntrack_ftp #装载追踪FTP被动连接模块
[[email protected] ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT
再次针对不同服务器进行”非法”访问
大家看!现在已经不能对服务器进行非法访问了
测试服务器是否可访问
ftp服务能正常访问
web服务能正常访问
dns服务能正常访问
总结
本文只做了一些简单的限制,不过足以限制用户只能访问”该访问”的服务,这当然不能运用于生产环境中,毕竟设计简陋,大家笑笑就好
作者:AnyISalIn
感谢:MageEdu
本文出自 “The AnyISalIn blog” 博客,请务必保留此出处http://anyisalin.blog.51cto.com/10917514/1759024
以上是关于使用iptables作为网络防火墙构建安全的网络环境的主要内容,如果未能解决你的问题,请参考以下文章