linux防火牆的例項應用
阿新 • • 發佈:2020-09-21
1、拒絕所有主機ping當前的主機。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all iptables -A INPUT -p icmp --icmp-type 8 -j DROP #新增入站規則,丟棄所有icmp協議的請求報文
2、本機能夠訪問別的機器的HTTP服務,但是別的機器無法訪問本機。
iptables -A INPUT -p tcp --dport 80 -j REJECT #新增入站規則,拒絕tcp協議進入80埠
3、當我們發現有 ip 惡意攻擊我們得時候,我們可以通過對防火牆設定規則來進行控制。所以我們可以 新增connlimit模組來實現對最大併發得控制。請寫出步驟
iptables -A INPUT -p tcp -m multiport --dports 22,80,443,8080 -m connlimit --connlimit-above 2 -j REJECT #--connlimit-above連線次數大於2時匹配規則
4、實踐
主機名 | IP地址 | 充當角色 |
A7 | 192.168.1.128(僅主機)eth0 | 網際網路伺服器 |
A8 | 192.168.1.129(僅主機)/eth1 10.0.0.8(NAT)/eth0 NAT裝置他有一個 是連結外網的ip有一個是連結內網的ip。 | 防火牆 |
B8 | 10.0.0.18(NAT)eth0 | 區域網伺服器 |
現在我在外地出差使用B8網際網路主機,但是現在由於公司有業務需要我 ssh 連結到內網、這時候 我就連結我們公司同事在防火牆上配置相關規則讓我連結進公司內網
請寫出實現過程:
# A8 systemctl stop firewalld
# 開啟路由轉換 echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf sysctl -p # 使用nat表PREROUTING鏈,把防火牆當做路由 iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18