Linux系统安全(十)| iptables防火墙实验

  • A+
所属分类:安全闲碎

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

目录

配置防火墙使之禁止访问 ftp 服务

配置防火墙使得指定网段的才可以访问FTP服务

禁止PING

按网段禁止Ping

禁止Telnet服务

按网段禁止Telnet服务


Linux系统安全(十)| iptables防火墙实验

先说明一下环境,这里有四台主机,中间的Centos充当防火墙。右上角的win XP和右下角的Rhel7充当服务器,最左边的win7充当主机。四者之间的网卡都已经配置好。而且我们已经在Centos6.5上开启了端口转发功能。

  • echo 1 > /proc/sys/net/ipv4/ip_forward (临时开启)

  • sysctl -w net.ipv4.ip_forward=1 (临时开启)

  • vim /etc/sysctl.conf , 将net.ipv4.ip_forward=0 改为 =1,然后 sysctl -p /etc/sysctl.conf 使之生效 (永久开启IP转发)

防火墙开启了IP转发功能后,然后清空iptables里面的所有规则,放行所有。win7、winXP、Rhel7都把防火墙给关了,然后四者之间就可以相互通信了。

配置防火墙使之禁止访问 ftp 服务
Linux系统安全(十)| iptables防火墙实验

我们在win xp上开启ftp服务,通过win7 和 Rhel7 可以 ftp WinXP。

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验

现在我们要配置防火墙,使之禁止FTP服务的流量经过。因为Win7要想FTP访问WinXP,流量先经过防火墙,然后再由防火墙转发。所以我们对防火墙的 filter 表的 FORWARD 链进行配置,使之拒绝FTP流量经过

iptables -t filter -A FORWARD -p tcp --dport 21 -j DROP

Linux系统安全(十)| iptables防火墙实验

可以看到,filter表中的FORWARD链已经加了一条拒绝TCP的21号端口通过的 规则了。然后我们再从Win7 FTP WinXP,可以看到,已经不能FTP了。

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验

配置防火墙使得指定网段的才可以访问FTP服务
Linux系统安全(十)| iptables防火墙实验

我们在防火墙上配置,使得Rhel7的才可以访问FTP服务,而Win7不能访问FTP服务。

iptables -t filter -A FORWARD -s 10.0.0.2 -p tcp --dport 21 -j ACCEPT //filter表的FORWARD链允许源地址10.0.0.2的主机,目的端口21号的流量 iptables -t filter -A FORWARD -s 192.168.1.2 -p tcp --dport 21 -j DROP //filter表的FORWAARD链拒绝源地址192.168.1.2的主句,目的端口21号的流量

Linux系统安全(十)| iptables防火墙实验

可以看到,filter表中的FORWARD链默认拒绝所有流量经过,放行源地址分别为10.0.0.0/24和20.0.0.0/24的ftp服务。

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验

禁止PING
Linux系统安全(十)| iptables防火墙实验

在防火墙上配置丢弃 icmp 协议的 request 包,也就是icmp-type为8的包

iptables -A FORWARD -p icmp --icmp-type 8 -j DROP

Linux系统安全(十)| iptables防火墙实验

可以看到,已经ping不通了,Windows系统显示请求超时,而Linux系统则发不出去包

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验

而当我们配置的是拒绝icmp协议的包通过

iptables -A FORWARD -p icmp --icmp-type 8 -j REJECT

Linux系统安全(十)| iptables防火墙实验

拒绝的话,windows系统和Linux系统都是显示目标端口不可达。

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验


按网段禁止Ping
Linux系统安全(十)| iptables防火墙实验

配置防火墙,丢弃192.168.1.0/24网段的icmp请求包,允许10.0.0.0/24网段的icmp请求包

iptables -A FORWARD -s 192.168.1.0/24 -p icmp --icmp-type 8 -j DROP iptables -A FORWARD -s 10.0.0.0/24 -p icmp --icmp-type 8 -j ACCEPT

Linux系统安全(十)| iptables防火墙实验

可以看到,Win7已经不能ping了,而Rhel7可以ping

Linux系统安全(十)| iptables防火墙实验

Linux系统安全(十)| iptables防火墙实验

禁止Telnet服务
Linux系统安全(十)| iptables防火墙实验

其他的和上面的一模一样,只是过滤规则的端口改了

iptables -A FORWARD -p tcp --dport 23 -j DROP
按网段禁止Telnet服务
Linux系统安全(十)| iptables防火墙实验
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP iptables -A FORWARD -s 20.0.0.0/24 -p tcp --dport 24 -j ACCEPT

相关链接:
Linux系统安全(九)| Linux中编写Shell脚本

Linux系统安全(八)| Linux中正则表达式和字符串的查询、替换(tr/diff/wc/find)

Linux系统安全(七) | Linux中sed工具的使用

Linux系统安全(六) | Linux中grep工具的使用

Linux系统安全(五) | Linux中awk工具的使用

Linux系统安全(四) | Linux下逻辑卷LVM的管理和RAID磁盘阵列

Linux系统安全(三) | Linux下磁盘分区卸载和磁盘配额

Linux系统安全(二) | SELinux入门

Linux系统安全(一) | Linux下的用户、组和权限


本文始发于微信公众号(安世加):Linux系统安全(十)| iptables防火墙实验

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: