iptables实现网络防火墙(一)

简介:

前言

    关于防火墙的相关概念,我们在之前的文章中已经进行了相关的介绍,这里就不再重复。感兴趣的朋友可以移步 
     初识Linux防火墙 
    今天重点记录一下,如何使用iptables来搭建网络防火墙,实现控制访问。

实验环境准备

    如果要实现网络防火墙,至少需要三台主机A,B,C,B用来搭建网络防火墙,A来模拟局域网内主机,C模拟网络客户端。 
    根据我们之前四表五链的介绍,我们知道,作为网络防火墙的主机B还要充当网关的角色,使用filter表的FORWARD链。
    实验拓扑如下图所示。

实验环境拓扑

    这里有一点需要注意,192.168 网段和172.18网段在实际生产中都属于私有地址,只不过,在我这里172.18网段可以实现链接互联网,所以这里我们模拟了了实验环境,请注意不要产生误解。

设置网关

        主机B虽然担任的是防火墙的角色,但是它还需要把主机A和主机C的数据包进行转发和传输,所以主机主机A和主机C还需要配置一下网关,指向主机B分别链接在内网和外网的两个IP地址。  

        下面为主机A和主机C添加两个路由。

# 给主机A添加一个默认的网关地址,指向192.168.2.77   
route add default gw 192.168.2.77   

# 给主机C添加一条默认的网关地址,指向172.18.2.77
route add default gw 172.18.2.77

清空主机的防火墙策略,开启主机B的转发功能,关闭SELinux

为了避免对实验环境的影响,首先对三台主机清空防火墙策略。

# 查看目前filter表是否具有防火墙策略
iptables -vnL   

# 清除filter表的防火墙策略
iptables -F

因为主机B要兼职转发功能,所以要开启主机B的转发功能。

# 开启主机B的转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward

最后关闭三台主机的SELinux策略。 
实验环境准备好之后,可以从主机A ping 到主机C 。如下图所示。

实验环境准备

下面开始搭建主机B的防火墙规则

下面我们开始在主机B上模拟建立防火墙的过滤规则。

允许局域网ping通外网,不允许外网ping局域网

    我们的目标是只能内网ping通外网,但是不允许外网ping通内部主机,这样的话,我们应该如何操作?

 ~]#iptables -A FORWARD -s 192.168.2.0/24 -d 172.18.0.0/16 -p icmp --icmp-type 8 -j ACCEPT
 ~]#iptables -A FORWARD -s 172.18.0.0/16 -d 192.168.2.0/24 -p icmp --icmp-type 0 -j ACCEPT
 ~]#iptables -A FORWARD -j REJECT
 
 # 查看一下建立好的防火墙策略
 ~]#iptables -vnLChain INPUT (policy ACCEPT 72 packets, 7907 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       192.168.2.0/24       172.18.0.0/16        icmptype 8
    0     0 ACCEPT     icmp --  *      *       172.18.0.0/16        192.168.2.0/24       icmptype 0
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 23 packets, 2060 bytes)
 pkts bytes target     prot opt in     out     source               destination

这里解释一下,有两种状态码,分别表示请求和应答。

  • 0/0 echo-reply icmp应答

  • 8/0 echo-request icmp请求

    第二种方法,我们可以通过状态链接的方式来定义防火墙规则。我们允许从内部网络发出的,凡是ESTABLISHED状态的包,通过防火墙。

# 凡是已经建立的链接都允许通过防火墙
 ~]#iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
 
 # 凡是符合源地址为192.168.2的网段 ,目的地址为172.18网段的icmp数据包都允许通过防火墙
 ~]#iptables -A FORWARD -s 192.168.2.0/24 -d 172.18.0.0/16 -p icmp --icmp-type 8 -j ACCEPT
 
 # 凡是符合源地址为192.168.2的网段 ,目的地址为172.18网段的icmp数据包都允许通过防火墙
 # 下面这条命令也同样可行,与上面的命令使用其中一个就可以
 # iptables -A FORWARD -s 192.168.2.0/24 -d 172.18.0.0/16 -p icmp -m state --state NEW 8 -j ACCEPT   
 
 # 其余的协议都拒绝
 ~]#iptables -A FORWARD -j REJECT

内部主机可以访问互联网上特定服务如httpd服务,SSH服务,ftp服务,但是外网不能访问内网的服务

    只是禁用ping 命令话,在实际生产中的作用并不是很大。但是如果我们想让内网的主机能够访问互联网上的特殊服务,而不允许外网的主机访问内网应该如何去做。

# 源地址为内网网段的允许经过防火墙
 ~]#iptables -A FORWARD -s 192.168.2.0/24 -p tcp -m multiport --dports 21:22,80 -j ACCEPT 

# 目的地址为内网地址的允许经过防火墙
 ~]#iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --sports 22,80,21 -j ACCEPT   
# 其余的全部拒绝
 ~]#iptables -A FORWARD -j REJECT
 
 # 查看一下定义好的防火墙策略
 ~]#iptables -vnLChain INPUT (policy ACCEPT 60 packets, 6088 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   492 ACCEPT     tcp  --  *      *       192.168.2.0/24       0.0.0.0/0            multiport dports 21:22,80
    4   471 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.0/24       multiport sports 22,80,21
   10   816 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 27 packets, 2604 bytes)
 pkts bytes target     prot opt in     out     source               destination

    现在内网的主机已经能够顺利的访问外网的主机,而且外网的主机不能够对内网的主机进行访问了。 
    但是现在又有了新的问题,ftp虽然能够链接到外网的服务,但是ftp却不能访问ftp服务器上的内容,这说明外网的数据不能够通过防火墙返回到内网的主机,所以我们的防火墙策略还要进行一定的修改。也就是说,要允许已经建立链接的,和相关的请求数据,返回时能够通过防火墙。 
    为此,我们在防火墙策略中,重新插入下面这样一条策略。

# 加载额外的模块 
 ~]#modprobe nf_conntrack_ftp
 
 # 源地址为内网网段的允许经过防火墙
 ~]#iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT   

# 查看一下当前的防火墙策略
 ~]#iptables -vnLChain INPUT (policy ACCEPT 69 packets, 5364 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   26  1692 ACCEPT     tcp  --  *      *       192.168.2.0/24       0.0.0.0/0            multiport dports 22,80
    4   471 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.0/24       multiport sports 22,80
  373 31092 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 31 packets, 2940 bytes)
 pkts bytes target     prot opt in     out     source               destination

    如果我们使用了状态策略的话,第三条规则已经没有多大必要的了,因为已经包含在状态中了。所以实际生产中,通常建议将状态链接写在第一条,这样可以省略很大的工作量。 
    还有一点需要注意,如果是扩展的匹配条件,需要加载额外的扩展模块(/usr/lib64/xtables/*.so),方可生效,关于额外的扩展模块可以 man 8 iptables-extensions来查看。

    经过上面的这些操作,我们就实现了一个具有路由功能的网络防火墙,但是,这个防火墙的功能还仅仅限于网络协议的控制和防护,这在实际生产中还远远不够,我们会在后续继续介绍关于网络防火墙的相关知识,欢迎关注。



个人博客地址:http://www.pojun.tech/ 欢迎访问





     本文转自Eumenides_s 51CTO博客,原文链接:http://blog.51cto.com/xiaoshuaigege/1975177,如需转载请自行联系原作者


相关文章
|
5月前
|
安全 Linux 网络安全
百度搜索:蓝易云【linux iptables安全技术与防火墙】
请注意,iptables的具体使用方法和配置选项可能会有所不同,取决于Linux发行版和版本。管理员应该参考相关文档和资源,以了解适用于其特定环境的最佳实践和配置方法。
462 0
百度搜索:蓝易云【linux iptables安全技术与防火墙】
|
5月前
|
传感器 运维 监控
《计算机系统与网络安全》 第十章 防火墙技术
《计算机系统与网络安全》 第十章 防火墙技术
71 0
|
5月前
|
网络协议 Linux 网络安全
小白也能看懂的 iptables 防火墙
iptables是Linux中功能最为强大的防火墙软件之一 是一个在 Linux 系统上常用的防火墙工具,用于配置和管理网络数据包过滤规则。它可以通过定义规则集来控制进出系统的网络流量,实现网络安全策略
236 5
|
14天前
|
云安全 安全 网络协议
网络安全产品之认识防火墙
防火墙是一种网络安全产品,它设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
36 0
|
2月前
|
安全 网络安全
网络安全攻防技术:防火墙的实践应用
网络安全攻防技术是当今社会中最重要的话题之一。为了保护我们的个人信息和企业数据,我们需要使用各种安全工具和技术来打击网络攻击。本文将介绍防火墙的实践应用,以帮助您更好地保护您的网络安全。
|
2月前
|
Linux 网络安全 网络架构
百度搜索:蓝易云【强大的iptables:解锁Linux网络安全的神器】
总结: iptables是Linux系统中的强大防火墙工具,通过管理网络流量和实施安全策略来保护系统的网络安全。通过配置iptables规则,可以防止未经授权的访问、过滤恶意流量、实现端口转发和网络地址转换等功能。合理使用iptables,可以加强系统的网络安全性和灵活性。
24 0
|
3月前
|
存储 网络协议 Linux
Linux加强篇008-使用Iptables与Firewalld防火墙
山重水复疑无路,柳暗花明又一村
260 0
Linux加强篇008-使用Iptables与Firewalld防火墙
|
3月前
|
Linux 网络安全
CentOS7下操作iptables防火墙和firewalld防火墙
CentOS7下操作iptables防火墙和firewalld防火墙
60 3
|
4月前
|
网络协议 网络安全 开发工具
iptables和防火墙1
iptables和防火墙1
24 0
|
3天前
|
机器学习/深度学习 算法 计算机视觉
m基于深度学习网络的性别识别系统matlab仿真,带GUI界面
m基于深度学习网络的性别识别系统matlab仿真,带GUI界面
12 2

热门文章

最新文章