0
点赞
收藏
分享

微信扫一扫

iptables企业案例

1,手动执行iptables命令配置企业生产环境下的防火墙

 生产环境配置逐级防火墙的两种模式;

逛公园及看电影两种模式

逛公园:默认随便进出,对非法的分子进行拒绝;企业应用:企业配置上网网关路由

看电影,默认没票进不去。花钱买票才能看电影,企业应用:服务器主机防火墙

很显然,第二种更严格,更安全。

本质就是防火墙的默认规则是允许还是拒绝。

 看电影模式:

iptables -F 清除当前所有链的规则

iptables -F 和 iptables --flush命令同,即可以使用短格式也可以使用长格式,

iptables -Z  清除当前所有链的计数器

iptables -X 删除用户自定义的链


配置一个企业防火墙,并设置允许本机通信规则

[root@ipt ~]# iptables -F
[root@ipt ~]# iptables -X
[root@ipt ~]# iptables -Z
[root@ipt ~]# iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
[root@ipt ~]# iptables -A INPUT -i lo -j ACCEPT
[root@ipt ~]# iptables -A INPUT -o lo -j ACCEPT
[root@ipt ~]# iptables -A OUTPUT -o lo -j ACCEPT


iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP


允许合法的进入:

iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT
iptables -A INPUT -s 203.83.24.0/24 -p all -j ACCEPT
iptables -A INPUT -s 201.82.34.0/24 -p all -j ACCEPT
iptables -A INPUT -p tcp --dprot 80 -j ACCEPT
允许外面人ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT


#others RELATED ftp协议
#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


端口扫描:

iptables企业案例_外网


局域网共享的两条命令方法:

方法1:适合于有固定外网地址的:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.7
(1)-s 192.168.1.0/24 办公室或IDC内网网段。
(2)-o eth0 为网关的外网卡接口。
(3)-j SNAT --to-source 10.0.0.19 是网关外网卡IP地址。
方法2:适合变化外网地址(ADSL):
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE 伪装。



iptables企业案例_生产环境_02



iptables企业案例_iptables_03




iptables企业案例_生产环境_04



iptables企业案例_生产环境_05


iptables企业案例_外网_06



iptables企业案例_生产环境_07


 iptables企业案例_iptables_08



iptables企业案例_企业应用_09



iptables企业案例_生产环境_10


举报

相关推荐

0 条评论