iptables实验2

IPTABLES   实验2

 

 

 

实验大体结构图

 

blob.png

 

 

相关概念及公式

源地址转换:    SNAT   POSTROUTING

目标地址转换:DNAT  PREROUTING

 

每次重启网络后我们都得首先打开连接转发功能,echo 1> /proc/sys/net/ipv4/ip_forward

 

注意此实验 NODE1NODE2eh1位于同一个虚拟网络VMNET0

NODE2eth0NODE3是桥接方式连接,

也就是可以认为NODE3是外网

NODE1是内网。

 

NODE1 : IP :   192.168.42.3

 

 blob.png

 

 

NODE2: 都是作为网关接口来设定的,这样看起来比较简便,实际中肯定不会这样了。

 

blob.png

 

NODE3:  当然就是配置10.1.0.0网段的网址啦。

 blob.png

 

我们启动NODE1HTTPD服务并编辑相应的网页文件即可。

blob.png

继续启动外网NODE3HTTPD 服务

blob.png 

以上环境搭好,让我们来测试下NODE1…NODE3之间能不能通过NODE2  相互联通。

 

NODE1 ———> NODE3

 

blob.png

 

NODE3———->NODE1

 blob.png

 

 

好了能互相PING通说明设置成功,那我们的外网主机NODE3也能获取NODE1的网页文件

blob.png

 

NOD1 能获取NODE3的网页文件

 blob.png

那么让我们接下来设置NODE2的转发防火墙。

 

1.首先打开连接转发功能,echo 1> /proc/sys/net/ipv4/ip_forward

 

2.设置放行所有状态为ESTABLISHED ,RALETEDTCP协议的链接。

NODE2首先开启FTP协议的连接追踪功能

 

 

modprobe       nf_conntrack_ftp

 

添加转发的默认规则

iptables   -A FORWARD    -j  DROP

 

这样我们的内外网的转发功能就被禁掉了,这里列出结果。

blob.png

 

blob.png

                                                                                                                                                  

现在我们让内网服务器能访问外网

iptables -I FORWARD  -s 192.168.42.0/24  -p tcp   –dport  80     -j ACCEPT

 

blob.png

 

当然我们这里是tcp协议,icmp协议当然还是不通了!!

blob.png

内网还是不能出去,这是因为之开放了出去的,响应报文进不来也没用!!

 

那我们接下来开放响应报文

 

iptables  -I   FORWARD 2  -d 192.168.42.0/24   -p tcp    –sport 80   -j   ACCEPT

 

这里我们内网对外网的访问就没有问题了!

 blob.png

Iptables    -vnL

这个就是我们当前的防火墙的总规则

blob.png

 

接下来让我们删除第二条规则,根据状态来做追踪

iptables  -D FOREWARD 2

我们加入根据状态来放行的转发规则,这样我们只要定义请求规则就可以了;

iptables -I FORWARD  -m state –state RELATED,ESTABLISHED -j ACCEPT

 

现在我们内网的主机想用ssh连接到外网怎么办?

很简单我们把第二条规则改下就可以了,我们只放行内网链接状态为NEW的连接!

我们在NEW方向加了状态

iptables -R FORWARD 2 -s 192.168.42.0/24 -p tcp -m multiport  –dports 80,21,22,23,139,445 -m state –state NEW -j ACCEPT

 blob.png

这就是改动后的规则

这里的内网对外网curlssh远程登陆都没有问题

这里的ssh可能会稍微时间长点因为每个包都得经过FORWARD 链进行过滤,所以速度当然就慢点了,台式机可能会快点。

 

blob.png

  

 blob.png

这里我们启动NODE3smbvsftpd服务,telnet服务看看NODE1上面什么反应!

 

blob.png

 

 blob.png

这里我们从NODE1上进行访问NODE3samba服务

 

blob.png

 

接下来我们测试下NODE1连接NODE3ftp服务有没有问题

blob.png

这里看出也是没有任何问题的!!!

 

 

注意:以后我们工作时在修改IPTABLES时定义一个自动20分钟运行的守护进程,让其清空防火墙,这样就能避免我们添加防火墙失败的问题,添加成功我们就删除这个自定义脚本;

原创文章,作者:sjfbjs,如若转载,请注明出处:http://www.178linux.com/53567

(0)
sjfbjssjfbjs
上一篇 2016-10-24
下一篇 2016-10-24

相关推荐

  • 磁盘配额、软RAID使用、LVM管理

    一.磁盘配额的相关知识 (1)工作原理及方式         *以文件系统为单位启动         *以特定的用户或组为对象       …

    Linux干货 2016-09-06
  • LVM基本应用,扩展以及缩减的实现

    这是一篇马哥课堂博客作业,这次换个表现方式写,前面先写总体的操作过程,后面显示详情 其实马哥视频讲的非常详尽,听起来特别容易理解,只是让我要写出来那得费九牛二虎之力,估计还得照着视频写。如下仅是看过视频之后的一个操作过程,比较粗糙,仅仅是作业。。。 LVM:logical volume manager version2 逻辑卷管理系统 PV:physical…

    Linux干货 2016-06-28
  • Hadoop集群配置

    通常,集群里的一台机器被指定为 NameNode,另一台不同的机器被指定为JobTracker。这些机器是masters。余下的机器即作为DataNode也作为TaskTracker。这些机器是slaves\ 官方地址:(http://hadoop.apache.org/common/docs/r0.19.2/cn/cluster_setup.ht…

    Linux干货 2015-06-03
  • 从Linux小白到大牛——与狼共舞的日子8

    马哥教育网络班21期+第8周课程练习 1、请描述网桥、集线器、二层交换机、三层交换机、路由器的功能、使用场景与区别。 网桥是第2层的设备,它设计用来创建两个或多个LAN分段。其中,每一个分段都是一个独立的冲突域。网桥设计用来产生更大可用宽带。它的目的是过滤LAN的通信流,使得本地的通信流保留在本地,而让那些定向到LAN其他部分(分段)的通信流转发到那里去。每…

    Linux干货 2016-11-14
  • 如何编译源码安装

    #include <stdio.h> main() {printf(“Hello World!\n”); } gcc -o hello hello.c 在编写hello.c的时候出现问题一直找不到,后来发现是因为我安装的gcc有问题 我在安装的时候是用rpm -ivh gcc –nodeps忽略依赖关系直接安装…

    2017-08-19
  • Linux用户、组和权限管理

    知识框架图 学习笔记 用户和组 UID root:0 系统用户:1-499、1-999 普通用户:500+、1000+ GID 管理员组:0 系统组:1-499、1-999 普通组:500+、1000+ 安全上下文 进程:运行中的程序 进程所能访问资源的权限取决于进程运行用户本身 组的类别 主要组 用户有且只能有一个主要组 组名=用户名,组中只能有一个用户 …

    2018-03-17