防火墙配置详解

于 2018-10-27 15:26:33 发布
阅读量3.3k 收藏 51
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34208467/article/details/83384815
版权

目录

 

一、首先了解一下查询防火墙的各种状态的命令:

二、iptables命令

实验一、实现让自己可以ping别人,而别人却无法ping自己。

实验二、网络防火墙

实验三、实现日志记录功能

一、首先了解一下查询防火墙的各种状态的命令:
 

1、查看防火墙状态:

[root@localhost ~]# systemctl status firewalld.service

2、开启防火墙

[root@localhost ~]# systemctl start firewalld.service

3、关闭防火墙:

[root@localhost ~]# systemctl stop firewalld.service

4、禁止firewall开机自启动:

[root@localhost ~]# systemctl disable firewalld.service
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

5、在开机时自动启用:

[root@localhost ~]# systemctl enable firewalld.service
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

6、查看服务是否开机自启动:

[root@localhost ~]# systemctl is-enabled firewalld.service 
enabled

7、查看已经启用的服务列表:

[root@localhost ~]# systemctl list-unit-files | grep fire
firewalld.service                             enabled

二、iptables命令

1、列出防火墙规则:iptables -L

2、列出防火墙规则,不进行域名解析:iptables -Ln

3、列出防火墙规则的详细信息:iptables -Lnv

4、列出防火墙规则对应是第几条:iptables -nL --line-numbers

5、删除INPUT表的第二条规则:iptables -D INPUT 2

6、清空防火墙:iptables -F。清空所有策略,但不会影响链上的默认策略

7、替换INPUT表第100条策略:iptables -D INPUT -s 192.168.153.1 -j REJECT

8、设置链策略:-P,DROP  ,也可以设置为ACCEPT,不能为REJECT。不建议改这个设置!

9、将当前防火墙策略保存至iptables文件:iptables-save > iptables

10、将保存的防火墙文件iptables添加至策略:iptables-restore < iptables

三、案例

实验一、实现让自己可以ping别人,而别人却无法ping自己。

主机一:

IP172.18.254.131

(在给主机一添加策略前,先试试主机二能不能ping通主机一,)

做实验前我们最好清空一下防火墙,以免其相互影响(iptables -F)。

添加防火墙策略:

[root@localhost ~]# iptables -A INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -A OUTPUT -p icmp -j REJECT
[root@localhost ~]# iptables -I OUTPUT 1 -p icmp --icmp-type 8 -j ACCEPT
[root@localhost ~]# iptables -I INPUT 1 -p icmp --icmp-type 0 -j ACCEPT

这里我们用到了icmp模块。icmp说直白一点,就是我们调用ping请求用到的模块。icmp-type 8  请求,icmp-type 0  回应。

简单解释一下这几行代码:

(1)拒绝INPUT的ping请求

(2)拒绝OUTPUT的ping请求

(3)插入策略为第一条,允许本机发送ping的请求报文。

(4)插入策略为第一条,允许接收回应报文。

也就是说,我发送的请求报文,别的主机给我发回应报文,我接收;

别人给我发的请求报文,我直接拒绝接收,拒绝回应。

主机二:

IP:172.18.252.162

[root@localhost ~]# ping 172.18.254.131
PING 172.18.254.131 (172.18.254.131) 56(84) bytes of data.

他会卡到这里不动。这是因为我们把报文发给主机一,主机一没有接受,没有回应报文,这样我们的主机二会一直卡着,直到请求超时才自动结束。

用主机二ping主机一,自然是没有一点儿问题。

实验二、网络防火墙

实验目的:实现内网可以ping外网,外网不可以ping内网。

实验环境:三台机器:一台作为防火墙(firewall),一台作为我们的内网机器(in),一台作为我们的外网机器(out)。防火墙机器两个网卡,一个连接内网,一个连接外网;内网机器一个网卡,外网机器一个网卡。最好自己把网卡设置成同一个网段,注意掩码一定要相匹配,不然会影响实验。

firewall:172.18.252.162/16  192.168.32.222/24
in  192.168.32.216/24   out   172.18.254.66/16

实验前,请先清理一下防火墙,以确保本实验不受其他条件的影响。

一、在firewall机器上开启IP转发功能

这里有三种方法提供给大家:

1、临时开启IP转发,重启后失效。

sysctl -w net.ipv4.ip_forward=1

2、直接写/proc文件系统 

echo 1 > /proc/sys/net/ipv4/ip_forward

3、编写配置文件

[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

二、在in机器上添加路由

[root@localhost ~]# route add default gw 192.168.32.0/24

三、在out机器添加路由

[root@localhost ~]# route add default gw 172.18.0.0/16

四、在防火墙机器添加策略

这里又有三种方法:

1、

[root@localhost ~]# iptables -A FORWARD -j REJECT
[root@localhost ~]# iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.254.66/16 -p icmp --icmp-type 8 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -s 172.18.254.66/16 -d 192.168.32.222/24 -p icmp --icmp-type 0 -j ACCEPT​

2、

[root@localhost ~]# iptables -A FORWARD -j REJECT
[root@localhost ~]# iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.254.66/16 -p icmp --icmp-type 8 -j ACCEPT
[root@localhost ~]#  iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT​

3、

[root@localhost ~]# iptables -A FORWARD -j REJECT
[root@localhost ~]#  iptables -I FORWARD -s 192.168.32.216/24 -d 172.18.0.0/16 -p icmp -m state --state NEW -j ACCEPT
[root@localhost ~]#  iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT​

五,测试

在内网主机ping外网主机,在外网主机ping内网主机。

实验三、实现日志记录功能

命令参数很简单:-j LOG

实验要求:两台主机

一、主机一

[root@localhost ~]# iptables -F
[root@localhost ~]# setenforce 0
setenforce: SELinux is disabled
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j LOG --log-prefix "NEW CONNECTION:"
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# tailf /var/log/messages

 清空防火墙,关闭selinux,为80端口添加一条策略:启用LOG功能,前缀是NEW CONNECTION。启动httpd服务,动态查看日志文件

 主机二、

访问主机一的80端口

[root@localhost ~]# curl 172.18.252.162

这时候我们再去看主机一

[root@localhost ~]# tailf /var/log/messages
Oct 26 22:40:01 localhost systemd: Started Session 18 of user root.
Oct 26 22:40:01 localhost systemd: Starting Session 18 of user root.
Oct 26 22:50:01 localhost systemd: Started Session 19 of user root.
Oct 26 22:50:01 localhost systemd: Starting Session 19 of user root.
Oct 26 22:56:30 localhost kernel: NEW CONNECTION:IN=ens34 OUT= MAC=00:0c:29:4e:8d:a5:00:0c:29:54:fb:bc:08:00 SRC=192.168.32.216 DST=172.18.252.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=40342 DF PROTO=TCP SPT=51866 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 
Oct 26 22:56:30 localhost kernel: NEW CONNECTION:IN=ens34 OUT= MAC=00:0c:29:4e:8d:a5:00:0c:29:54:fb:bc:08:00 SRC=192.168.32.216 DST=172.18.252.162 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=40343 DF PROTO=TCP SPT=51866 DPT=80 WINDOW=229 RES=0x00 ACK URGP=0

 看到了吧,日志已经记录在案,并且已经加上了前缀。

实验环境:两台机器,一台作为防火墙(两个网卡),一台做内网机器(一个网卡)。

firewall:172.18.252.162/16  192.168.32.222/24
in  192.168.32.216/24

一、在防火墙机器上操作

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]#  iptables -t nat -A POSTROUTING -s 192.168.32.0/24 -j SNAT --to-source 172.18.252.162

二、在内网机器测试

[root@localhost ~]# ping 119.75.217.109
PING 119.75.217.109 (119.75.217.109) 56(84) bytes of data.
64 bytes from 119.75.217.109: icmp_seq=1 ttl=53 time=22.1 ms

这里我们给了一个百度的IP地址:119.75.217.109

三、附加操作

我们ping通了百度,但是是以谁的身份呢?为了加深理解,我们再添加一台试验机,这一次我们的网卡设置为172.18.254.66/24

拿我们的内网机器ping一下我们添加的试验机:

[root@localhost ~]# ping 172.18.254.66
PING 172.18.254.66 (172.18.254.66) 56(84) bytes of data.
64 bytes from 172.18.254.66: icmp_seq=1 ttl=63 time=0.383 ms
64 bytes from 172.18.254.66: icmp_seq=2 ttl=63 time=0.359 ms

就这么让他ping着。这时候,我们再去我们添加的这台试验机上操作:

[root@localhost ~]# tcpdump -i ens33 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
15:18:06.498058 IP 172.18.252.162 > 172.18.254.66: ICMP echo request, id 6142, seq 1, length 64
15:18:06.498140 IP 172.18.254.66 > 172.18.252.162: ICMP echo reply, id 6142, seq 1, length 64

看到了吧,他显示的地址正是我们防火墙机器的IP,而不是我们内部网络的IP地址!

 

知识共享,允许转载!不足之处希望您能完善完善!

 

 

 

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值