防火墙的配置
任务06.配置与管理iptables防火墙
1、实训目的
能熟练完成利用iptables架设企业NAT服务器。
2、项目背景
假如某公司需要Internet接入,由ISP分配IP地址202.112.113.112。采用iptables作为NAT服务器接入网络,内部采用192.168.1.0/24地址,外部采用202.112.113.112地址。为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail三台服务器;内部Web服务器192.168.1.100通过端口映象方式对外提供服务。
该公司网络拓扑图如下图所示 :
3、实训内容
练习Linux系统下NAT和iptables防火墙的配置。
一、fuwuqi操作1、fuwuqi的网络适配器为V8 kehuji为v1
1、基本网络设置,配置外网(eth0)和内网(eth1)
ifconfig eth0 172.30.1.2
ifconfig eth1 192.168.1.2
1.设置默认网关和查看
[[email protected] ~]# route add default gw 172.30.1.1
[[email protected] ~]# route -n
2、清除防火墙原始规则
[[email protected] ~]# iptables -t filter -F
[[email protected] ~]# iptables -t nat -F
[[email protected] ~]# iptables -t mangle -F
3、给防火墙写入新的规则(web/dns/电子邮件/SMTP/)
[[email protected] ~]# iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p udp --dport 80 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p udp --dport 25 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth0 -p udp --dport 110 -j ACCEPT
[[email protected] ~]# iptables -L
4、防止外部主机ping内部主机(防止联通)
[[email protected] ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP(进入的包是请求包,拒绝)
[[email protected] ~]# iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP(出的包是应答的包,拒绝)
[[email protected] ~]# iptables -A FORWARD -p icmp --icmp-type 0 -j DROP(转发的包也拒绝)
[[email protected] ~]# iptables -A FORWARD -p icmp --icmp-type 8 -j DROP
5、防止外部主机对内部主机进行扫描和攻击(对TCP协议的标志进行控制)
[[email protected] ~]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
[[email protected] ~]# iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
[[email protected] ~]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
[[email protected] ~]# iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
[[email protected] ~]# iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP(对控制类进行控制)
[[email protected] ~]# iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
实现nat功能
6、开启路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
7、启动iptables的nat功能
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 172.30.1
[[email protected] ~]# iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p udp --dport 80 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p udp --dport 25 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
[[email protected] ~]# iptables -A FORWARD -i eth1 -p udp --dport 110 -j ACCEPT
查看语句:
[[email protected] ~]# iptables -L
[[email protected] ~]# iptables -L|more
[[email protected] ~]# iptables -L -v|more
二、kuehuji操作
1、重启网卡
service network start
1、设置客户机连接外网的ip地址
ifconfig eth0 192.168.1.100
2、设置默认网关
route add default gw 192.168.1.2
3、设置dns服务器
vi /etc/resolv.conf
1、按i 将其中一个地址改为192.168.1.100
2、验证能否通过nat转发上网
nslookup www.baidu.com
资料查找网址:https://wenku.baidu.com/view/c3f82626453610661ed9f4e6.html