iptables简单单网防火墙应用
来源:百度文库 编辑:神马文学网 时间:2024/05/01 22:38:04
并根据防火墙软件的访问规则,对进出的封包进行过滤,来达到保护作用。
单网防火墙的保护范围只能保护本地应用,无法保护网络上的其它主机。 实验环境网络中现有一台linux服务器,IP:192.168.1.90,为192.168.1.0网段主机提供www、ftp、email服务。
现要求根据iptables制定的规则对该服务器进行访问。规则如下
允许192.168.1.0网段主机访问服务器的www、ftp、email服务,其它服务禁止访问。
允许192.168.1.30主机访问服务器telnet及ssh端口,其它主机禁止访问。
允许192.168.1.30主机发送ICMP包,其它主机禁止响应。 #/bin/bash
Server=192.168.1.90
network=192.168.1.0/24
ipt=/sbin/iptables
#添加防火墙INPUT默认规则,将所有发送到INPUT列数据包DROP掉
$ipt -P INPUT DROP
#清除防火墙filter中所有规则
$ipt -t filter -F
#允许192.168.1.30主机向防火墙发送ICMP数据包
$ipt -t filter -A INPUT -p icmp -s 192.168.1.30 -d $Server -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的web服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 80 -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的ftp服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 21 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 20 -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的email服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 443 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 110 -j ACCEPT
#允许192.168.1.30主机对防火墙进行远程访问
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 22 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 23 -j ACCEPT
#允许所有协议状态为ESTABLISHED,RELATED数据包通过
$ipt -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
查看访问规则
[root@linuxinfo ~]# iptables -t filter -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- 192.168.1.30 linuxinfo
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:http
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:ftp
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:ftp-data
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:https
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:pop3
ACCEPT tcp -- 192.168.1.30 linuxinfo tcp dpt:60000
ACCEPT tcp -- 192.168.1.30 linuxinfo tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination