linux系统防火墙拦截网络,使用iptables作为网络防火墙构建安全的网络环境

最新推荐文章于 2025-05-05 14:40:08 发布
最新推荐文章于 2025-05-05 14:40:08 发布
阅读量471 收藏
点赞数
文章标签: linux系统防火墙拦截网络

前言

一般情况下iptables只作为主机防火墙使用,但是在特殊情况下也可以使用iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables对三台服务器的安全进行安全防护

网络防火墙的优势

网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制

实验拓扑图

62db1adb6b13db7452791460e557cb16.png

实验环境

主机IP地址功用

fire.anyisalin.com

192.168.2.2,192.168.1.112

控制整个网段的数据报文的流入流出及过滤

ns.anyisalin.com

192.168.2.3

提供DNS服务

ftp.anyisalin.com

192.168.2.5

提供FTP服务

www.anyisalin.com

192.168.2.4

提供web服务

除了fire主机,其他主机皆关闭SElinux和iptables

实验步骤

FTP,WEB,DNS服务器安装配置这里就不写了,有兴趣的看我以前的博客AnyISalIn的文章

防火墙未设置前对所有服务器的测试

以下操作在192.168.1.103进行

dns服务能够正常使用

77bd92640a9b7b9ef1ee8defd0cbb922.png

ftp服务能够正常使用

c034b212ac8ef34986b3d48b4f1ce31a.png

web服务能够正常使用

fc5777d4b6f25e4d4ae7ea92305bb425.png

针对不同服务器进行”非法”访问

我们对dns,web.ftp服务器分别进行ping,ssh等操作

653061d8d17b0e0ae25ac727d8d53e5a.png

43fc41a8d2e0b006e0c44dad234eb6f7.png

定义网络防火墙规则

大家应该够知道,服务器开放的端口越多就越危险,所以我们在网络防火墙对其进行规则定义

[root@fire ~]# iptables -P FORWARD DROP  #设置FORWARD链默认策略为DROP

[root@fire ~]# modprobe nf_conntrack_ftp  #装载追踪FTP被动连接模块

[root@fire ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@fire ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT

[root@fire ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT

解释一下上面几条规则的作用

第一条规则将FORWARD链的默认策略设置为DROP,那么默认所有的数据包将不能通过FORWARD的转发

第二条规则状态nf_conntrack_ftp模块,使得iptables能够追踪FTP链接的状态,使数据连接得以建立

第三条意思是状态使ESTABLISHED和RELATED允许通过,指的是已建立链接或者追踪链接建立能够通过

第四条意思是允许访问目标地址为192.168.2.0网段,端口为21/TCP和80/TCP状态为NEW能够通过,指的是新的链接能通过

第五条是为DNS查询而添加的规则,指的是允许访问目标地址为192.168.2.3的地址且目标端口为53/UDP的NEW`状态能够通过,同指新的链接能够通过

再次针对不同服务器进行”非法”访问

大家看!现在已经不能对服务器进行非法访问了

16c3af9f5c77168cb0d52c2eed9ad0d7.png

测试服务器是否可访问

ftp服务能正常访问

802bb751bfe282c69e174bd4e7fed918.png

web服务能正常访问

2825380a1ccb0b34f03a5a2e8e3eebf9.png

dns服务能正常访问

d64d53c9dd576348ec708566d84601ef.png

总结

本文只做了一些简单的限制,不过足以限制用户只能访问”该访问”的服务,这当然不能运用于生产环境中,毕竟设计简陋,大家笑笑就好

更多iptables相关教程见以下内容:

0b1331709591d260c1c78e86d0c51c18.png

Iptables防火墙
m0_73823239的博客
12-28 1095
编写 iptables 规则时使用“--icmp-type ICMP 类型”的形式,针对的协议为 ICMP,用来检查 ICMP 数据包的类型(--icmp-type)。的顺序进行匹配和处理。编写 iptables 规则时使用“-i 接口名”和“-o 接口名”的形式,用于检查数据包从防火墙的哪一个接口进入或发出,分别对应入站网卡(--in-interface)、出站网卡(--out-interface)例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作。
iptables拦截域名_Linux利用iptables屏蔽某些域名
weixin_39534002的博客
12-20 4452
一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。比如可以限制SS访问youtube.com 以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名。iptables -A OUTPUT -m string --string "youtube.com" --algo bm -...
Linux - 用iptables构建主机防火墙安全
小工匠
05-23 6198
设置主机防火墙网络安全中具有重要意义。主机防火墙是一种软件或硬件系统,可以监控和控制进出主机的网络流量。主机防火墙可以限制网络流量,防止未经授权的访问进入主机。这有助于防止恶意攻击者通过网络攻击入侵系统或窃取敏感信息。通过仅允许特定的网络流量通过,主机防火墙可以减少系统的攻击面,从而降低系统受到攻击的可能性。它可以阻止许多常见的网络攻击,如端口扫描、拒绝服务攻击等。主机防火墙可以监控主机上的网络流量,并记录网络活动。这有助于发现潜在的安全问题,以及跟踪和调查安全事件。
linux系统防火墙拦截网络,用Linux系统防火墙功能抵御网络攻击
weixin_31975689的博客
05-04 648
如果要阻止的是218.202.8的整个网段,加入:本文引用地址:http://www.eepw.com.cn/article/201609/304236.htm-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT* 直接用命令行加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在i...
iptables 屏蔽ip
Terry - 专注外贸B2C
07-22 1134
iptables -I INPUT -s 46.198.191.33 -j DROP iptables -I OUTPUT -s 50.23.147.90 -j DROP service iptables save service iptables restart
解决Linux服务器中,端口号被防火墙拦截的问题
qq_40437666的博客
06-13 2551
4. 重启防火墙服务:重启防火墙服务以使更改生效。具体的命令可能因你使用Linux发行版而有所不同。在接口调用的时候,如果频繁出现连接超时的问题,在排除网络问题后,大概率是防火墙拦截的问题。对于Ubuntu、Debian等使用。对于CentOS、Fedora等使用
构建Linux防火墙规则:强化安全iptables配置
Linux系统中,构建一个安全iptables防火墙策略至关重要,它能有效防止未经授权的网络访问并保护系统资源。iptables(Internet Packet Filter)是Linux内核的一个模块,用于管理和控制进出系统网络包过滤。本文...
操作系统安全算法:Firewalls:防火墙在企业网络中的部署.docx
11-10
防火墙作为一种重要的网络安全系统,它的设计目的就是监控和控制进出企业网络的流量,依据预设的安全规则进行过滤。这种技术是企业抵御外部网络威胁、保护内部数据安全的关键手段。 防火墙的类型多种多样,每种类型...
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1441
Netfilter是什么? Netfilter是Linux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 Netfilter与Linux的关系 Netfilter与Linux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
Linux防火墙基础入门及iptables配置
Linux防火墙作为一个重要的网络安全工具,具有以下作用和重要性: - **阻止不必要的网络访问**:它可以根据用户的设定规则,拦截来自外部网络的不必要的访问请求,只允许特定的网络流量通过。 - **保护服务器资源*...
一文看懂Linux内核网络安全技术,太硬核了!
最新发布
大雨淅淅的博客
05-05 895
Linux 内核网络安全相关技术在当今数字化时代中扮演着举足轻重的角色,其对于保障系统的稳定运行、保护用户数据安全以及维护网络空间的秩序都具有不可替代的重要性。从防火墙技术对网络访问的精细控制,到加密传输协议为数据穿上坚实的 “铠甲”,再到 eBPF 技术赋予网络监控和防护的灵活性与高效性,这些技术共同构建起了 Linux 系统网络安全的坚固防线,在服务器安全防护、企业网络安全保障等众多场景中发挥着关键作用,为我们的数字生活保驾护航。
iptables拦截域名_openwrt路由器使用iptables进行域名过滤
weixin_39752215的博客
12-20 2708
iptables-IFORWARD-mstring--string"abcd"--algokmp-jDROPoriptables-IFORWARD-mstring--string"abcd"--algobm-jDROP使用string设置过滤域名。当网址中包含相关字段是无法上该网址。使用ssh客户端可以把过滤的命令写入/etc/firewall.user中,...
Linux系统Iptables拦截对外访问规则(模拟Kafka宕机)
MiaoTai
06-11 1095
转载于我的好大哥----松松 测试案例中有个场景是测试kafka宕机不可用的情况,由于考虑到kafka是很多应用公用的,直接停kafka服务可能会给别的应用带来问题,决定在要测试的应用所在机器上打开防火墙iptables服务,添加iptables对外访问过滤规则,测试完成后删除规则,关闭防火墙复原。     1、在filter表中追加一条规则,匹配到对外访问tcp协议9092端口时拒绝访问: iptables -t filter -A OUTPUT -p tcp --dp...
Linux拦截进程流量,linuxiptables和阻止可能不可能的流量
weixin_39893274的博客
05-02 535
我正在研究一些iptables防火墙规则,并且已经看到许多示例表明阻止来自不可路由的IP地址空间的潜在不可能的流量的重要性.这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目.一些示例包括以下内容:> $CURRENT_IP> 0.0.0.0/8> 10....
iptables拦截域名_使用iptables封锁对某个域名的DNS查询
weixin_34734156的博客
01-12 4189
使用iptables封锁对某个域名的DNS查询发布时间:2020-02-24 19:40:09来源:51CTO阅读:424作者:757781091现在有一需求,需要禁止主机对某一个域名的DNS查询,想到用iptables的string模块,使用下面的命令:iptables -D OUTPUT -m string --string "www.baidu.com" --algo bm -jDROP但使...
iptables常用命令
热门推荐
sre救赎之路
04-14 1万+
iptablesLinux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全
Linux kernel过滤网络数据包
钱国正的专栏
09-16 4583
原理剖析内核过滤数据包,第一个想到的是iptables,这个东西是用户层的, 深入点就是netfilter了。 netfilter的5个钩子点可以实现这个。 对内核熟悉点的人会知道layer7, 有的使用框架snort,layer7已经不更新,继承者是ipp2p, 这些都可以。还有Libpcap不知道怎么做,目前没有去深入研究过。方案选定我的本意是针对含有特殊字符串的数据包重定向端口,其他的数据包
linux iptables 阻止访问ip,Linux 防火墙iptables 禁止某些 IP访问
weixin_29738537的博客
05-04 1682
Linux 防火墙iptables 禁止某些 IP 访问http://www.doczj.com/doc/493526120c22590103029d02.html 编辑:phper 来源:转载在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。方法一,过滤一些IP访问本服务器要封停一个IP,使用下面这条命令:代码如下复...
iptables管理防火墙
qq_42241932的博客
08-22 314
 什么时iptables?  概念:iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值