标签:bytes 使用 erro erp can put sha 外网 inpu
实验前提需求:
主机名 | IP地址 | 充当角色 |
A7 | 192.168.1.128(NAT)eth0 | 局域网服务器 |
A8 | 192.168.1.129(NAT)/eth0 10.0.0.8(仅主机)/eth1 NAT设备他有一个 是链接外网的ip有一个是链接内网的ip。 | 防火墙NAT设备 |
B8 | 10.0.0.18(仅主机)eth0 | 互联网服务器 |
统一在A8上设置
1、实现禁止别的主机ping自己
iptables -A INPUT -d 192.168.1.129 -p icmp -j REJECT #因为ping走的是icmp协议,并且ping没有固定端口,因此只能禁止icmp协议才能达到禁ping
[root@B8 ~]# ping -c 3 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable
From 10.0.0.8 icmp_seq=3 Destination Port Unreachable
--- 10.0.0.8 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 39ms
2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机。
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #在filter中设置,默认为filter表,仅同意内网内的主机主机访问外网 iptables -A INPUT -d 10.0.0.8 -p tcp --dport 80 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
[ root@B8 ~]# curl 10.0.0.18
B8
[ root@A7 ~]# curl 10.0.0.8
curl: (7) Failed to connect to 10.0.0.8 port 80: Connection refused
3、当我们发现有 ip 恶意攻击我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以 添加connlimit模块来实现对最大并发得控制。请写出步骤
iptables -A INPUT -m connlimit --connlimit-above 10 -j REJECT
[ root@A7 ~]# ping -c 1 10.0.0.8 #当A7第11次pingA8的时候就无法访问了,只能等一会再去访问就好了
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
--- 10.0.0.8 ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms
4、现在我在外地出差使用A7互联网主机,但是现在由于公司有业务需要我 ssh 链接到内网、这时候 我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网
iptables -A INPUT -s 10.0.0.1 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 192.168.1.128 -j ACCEPT iptables -A INPUT -d 10.0.0.8 -j REJECT
[root@A7 ~]# ssh 10.0.0.8
The authenticity of host ‘10.0.0.8 (10.0.0.8)‘ can‘t be established.
ECDSA key fingerprint is SHA256:0/fO8ea0emb7MQyIR3OcKjWDDqO5m4oPNddMJeM/fTQ.
Are you sure you want to continue connecting (yes/no)?
[root@D1 ~]# ssh 10.0.0.8
ssh: connect to host 10.0.0.8 port 22: Connection refused
标签:bytes 使用 erro erp can put sha 外网 inpu
原文地址:https://www.cnblogs.com/shang-b/p/13696777.html