防火墙filter表的出站、入站访问控制

防火墙filter表出入站访问控制实践
最新推荐文章于 2023-08-02 20:09:05 发布
原创 最新推荐文章于 2023-08-02 20:09:05 发布 · 758 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了防火墙filter表的出站、入站访问控制。在网关gw1上限制ping测试,允许ping别人,禁止别人ping自己,并验证了效果。还针对gw1上的FTP服务做访问控制,禁止主机pc120访问,测试显示pc120访问失败,其他主机可正常访问。

防火墙filter表的出站、入站访问控制

1)在网关gw1上限制ping测试(允许ping别人,禁止别人ping自己)
丢弃进来的ping请求包、允许进来的各种ping应答包(非请求包)

[root@gw1 ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
[root@gw1 ~]# iptables -A INPUT -p icmp ! --icmp-type echo-request -j ACCEPT
或者,允许出去的ping请求包、丢弃出去的各种ping应答包(非请求包)
[root@gw1 ~]# iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
[root@gw1 ~]# iptables -A OUTPUT -p icmp ! --icmp-type echo-request -j DROP

2)验证ping限制效果
在网关gw1上ping主机pc120,可以ping通:

[root@gw1 ~]# ping -c4 -W2 174.16.16.120
PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.
64 bytes from 174.16.16.120: icmp_seq=1 ttl=64 time=2.32 ms
64 bytes from 174.16.16.120: icmp_seq=2 ttl=64 time=0.226 ms
64 bytes from 174.16.16.120: icmp_seq=3 ttl=64 time=0.583 ms
64 bytes from 174.16.16.120: icmp_seq=4 ttl=64 time=0.239 ms

--- 174.16.16.120 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.226/0.844/2.328/0.868 ms

在主机pc205上ping网关gw1,丢包率为100%,实际上被防火墙封堵了:

[root@pc205 ~]# ping -c4 -W2 174.16.16.1
PING 174.16.16.1 (174.16.16.1) 56(84) bytes of data.

--- 174.16.16.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 5001ms

[root@pc205 ~]#

3)针对网关gw1上的FTP服务做访问控制
快速安装、启用vsftpd服务:

[root@gw1 ~]# yum -y install vsftpd
.. ..
[root@gw1 ~]# service vsftpd restart
.. ..

禁止从主机pc120访问本机的FTP服务:

[root@gw1 ~]# iptables -A INPUT -s 174.16.16.120 -p tcp --dport 20:21 -j DROP
[root@gw1 ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp !type 8 
DROP       tcp  --  174.16.16.120        0.0.0.0/0           tcp dpts:20:21

4)测试FTP访问控制效果
在被封堵的主机pc120上,访问gw1的FTP服务将会失败:

[root@pc205 ~]# ftp 174.16.16.1   
ftp: connect: 连接超时
ftp> quit
[root@pc205 ~]#

在其他主机(比如svr5)上,可以正常访问gw1的FTP服务:

[root@svr5 ~]# ftp 174.16.16.1
Connected to 174.16.16.1 (174.16.16.1).
220 (vsFTPd 2.2.2)
Name (174.16.16.1:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
[root@svr5 ~]#
张晓峰。
关注
31、PIX防火墙访问控制、URL过滤与PPPoE配置
tree8的博客
05-31 20
本文详细介绍了PIX防火墙访问控制、URL过滤和PPPoE配置方面的功能和配置方法。内容涵盖了PIX防火墙的ACL创建与应用、URL过滤的工作原理与配置步骤,以及PPPoE客户端的配置要点。通过具体示例和注意事项,帮助网络管理员更好地理解和运用这些功能,以提升网络的安全性和管理效率。
防火墙防火墙
mengjialiang2002的博客
09-11 991
防火墙是一种网络安全设备或软件,用于监控和控制网络流量,以保护网络免受未经授权的访问、恶意攻击和数据泄露等威胁。
Filter防火墙
qq_59468802的博客
10-12 156
实验简介: 实验所属系列:防火墙技术 实验对象: 本科/专科信息安全专业 相关课程及专业:信息安全基础、计算机网络 实验时数(学分):4学时 实验类别:实践实验类 实验目的: 1、了解个人防火墙的基本工作原理; 2、掌握Filter防火墙的配置。 预备知识: 防火墙 防火墙(Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 防火墙是用来阻挡外部不...
简述访问控制、基于用户的访问控制、httpd虚拟主机、持久链接等应用配置实例...
weixin_30376323的博客
12-03 191
1 访问控制 可基于两种机制指明对哪些资源进行何种访问控制; 文件系统路径 URL路径 注意: 从上到下匹配,匹配到一个就立即执行 如果没有子目录的访问控制,但是有父目录的访问控制,则子目录继承父目录的访问控制 1.1 IP访问规则设置 HTTPD-2.2 Order allow,deny ##Order是固定关键字,后面的allow和deny是参数,哪个在后面,就示默认策...
centos中firewall防火墙添加出站端口
keepitcoming的博客
04-12 2028
查看端口 firewall-cmd --list-all 添加端口 sudo firewall-cmd --add-port=8001/tcp --permanent 重启firewall firewall-cmd --reload
iptables 防火墙filter
linhaoyanglinhao的博客
08-31 363
iptables防火墙
Linux Security(四)之iptables防火墙filter控制,扩展匹配,nat典型应用
yy1506438689的博客
07-25 330
一、iptables防火墙 1.Linux包过滤防火墙 RHEL7默认使用firewalld作为防火墙 但firewalld底层还是调用包过滤防护墙iptables [root@web100 ~]# yum -y install iptables-services [root@web100 ~]# systemctl start iptables.service 2.iptables的,链结构 状态跟踪 包标记 地址转换 过滤 ...
filter过滤和转发控制: 针对Linux主机进行出站控制 利用ip_forward机制实现Linux路由/网关功能 在Linux网关上实现数据包转发访问控制
彭淦淦的博客
04-23 689
2.1 问题 本案例要求创建常用主机防火墙规则以及网络防火墙规则: 针对Linux主机进行出站控制 利用ip_forward机制实现Linux路由/网关功能 在Linux网关上实现数据包转发访问控制 2.2 方案 根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙,如图-1所示。 主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。 网络防火墙,主要保护的是防火墙...
iptables、防火墙、NAT
我不是程序猿的博客
03-17 2104
iptables iptables有多种功能,每一种功能都用一张来实现 最常用的功能是防火墙和NAT 从RHEL7开始,默认的防火墙为firewalld,但是它的底层仍然调用iptables 安装iptables服务 # 关闭firewalld [root@node1 ~]# systemctl stop firewalld [root@node1 ~]# systemctl disable firewalld # 安装iptables [root@node1 ~]# yum install
访问控制工作过程和执行流程
weixin_34376986的博客
01-02 551
网管员在日常工作中经常会接触到路由器,但是对路由器得了解程度有多少呢?今天来为您讲述一下访问控制(ACL),在日常的工作中可以利用ACL可以限制网络流量、提高网络性能,同时也提高了网络的安全等级。在局域网中,路由器或网关负责网络中的内外沟通的信息,同时对内部的网络系统进行安全与稳定的保护作用,所以在安全方面负责对这些进进出出的数据进行识别,从而实现网络的数据安全过滤;在网...
允许来自客户端计算机的出站Web访问 配置出站Internet访问系列之一
weixin_34096182的博客
08-19 263
今天下午有个网管员的面试(感觉自己还可以胜任这份工作),公司可能要用到ISA,具体情况就不多说了。这篇及后续文章也会为大家更多的带来一些关于ISA方面的知识,有什么意见或观点欢迎大家多多交流! 在本次的实验中,我将配置ISA允许来自内部网络中的客户端计算机的出站Web访问,大致的环境拓扑图如下(其中的ISA服务器角色由Paris承担,Paris上已经...
允许来自ISA Server的出站访问 配置出站Internet访问系列之三
weixin_34185320的博客
08-21 166
紧接上面的环境,这篇文章为大家配置ISA Server允许来自ISA服务器本身的出站访问。 在ISA服务器Paris计算机上,尝试建立与istanbul.fabrikam.com的FTP会话,测试连通性。如下,打开一个命令提示符窗口,在命令提示符下键ftp istanbul.fabrikam.com,然后回车查看状态 等下会出现如图上的提示,...
网络-访问控制
OpenSky的博客
10-16 2918
1.访问控制 访问控制就是限制访问主体对访问客体的访问权限控制,决定主体对客体能做什么和做到什么程度 访问主体(主动):用户,进程,服务 访问客体(被动):数据库,资源,文件 2.访问控制的两个过程 认证:先由认证来检验主体(用户)的合法身份,在访问控制之前 授权:由管理员决定和限制主体(用户)对资源的访问级别 !!注意:审计也在主体对客体访问的过程中,但是,审计是访问过程中,对访问情况的记录和审查,他只是产生一些log,用来分析安全事故产生的原因,和访问控制无关,就是个辅助用的,可要可不要。 3.访问控制
windows防火墙出站规则只允许访问指定域名ip,其他出站ip全部阻止的方法
热门推荐
baozou_jianghuxing的专栏
06-01 1万+
需求背景:公司内网的windows服务器因业务需要只需访问互联网指定的域名ip,其他的因出于系统网络安全考虑需要屏蔽阻止业务无关的其他所有域名和ip的访问。实现方案:在windows防火墙中进行设置,如果安装其他网络防火墙会存在安全隐患,公司不允许安装私人或非法的网络软件,因此只能基于windows自带的防火墙进行处理,不能安装类似瑞星、火绒之类的网络安全管理软件。实现思路:通过查询业务需要的域名对应的ip,在防火墙中设置这些ip的访问为允许通过。然后对应其他所有ip:0.0.0.0-254.254.254
openwrt的基本知识与操作
yiyayiyao11的博客
07-25 7292
电脑要跟互联网通信会经过nat地址转化,数据包有源地址和数据信息,发出去,会变成路由wan口地址,nat会损失性能,会有延时。端口转发,如果不启用nat回环,就只能从外面访问里面,也就是单向访问,所以要启用,这样pc端b可以访问副路由的管理界面。有一个包,要发往未知的地址,由网关网关:网络关卡,通常是路由器的地址)发送,通过桥接br-lan的方式,UG示这条路可以使用。pc端:a(a可以理解为互联网,1.2为ip地址,通过端口10000)想访问pc端b,a想打开副路由的管理界面(也就是0.1),到。
iptables防火墙filter控制、扩展匹配、使用iptables配置网络型防火墙、NAT原理、配置SNAT
m0_52686092的博客
08-02 675
I 插规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插一条规则,原本位置上的规则将会往后移动一个顺位。-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则,顺序不变(1是位置)--dport 目的端口 例:iptables -A INPUT -p tcp --dport 22。--sport 源端口 例:iptables -A INPUT -p tcp --sport 22。
网络安全之访问控制防火墙
最新发布
01-21
### 网络安全中的访问控制防火墙 #### 访问控制概述 在网络环境中,访问控制是指通过特定策略和技术手段来管理主体(用户或设备)对客体(资源和服务)的访问权限。有效的访问控制系统能够防止未授权用户的非法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值