码迷,mamicode.com
首页 > 其他好文 > 详细

防火墙简单设置

时间:2020-09-23 23:02:17      阅读:41      评论:0      收藏:0      [点我收藏+]

标签:bytes   使用   erro   erp   can   put   sha   外网   inpu   

实验前提需求:

主机名 IP地址 充当角色
A7 192.168.1.128(NAT)eth0 局域网服务器
A8 192.168.1.129(NAT)/eth0 10.0.0.8(仅主机)/eth1 NAT设备他有一个 是链接外网的ip有一个是链接内网的ip。 防火墙NAT设备
B8 10.0.0.18(仅主机)eth0 互联网服务器

统一在A8上设置

1、实现禁止别的主机ping自己

iptables -A INPUT -d 192.168.1.129 -p icmp -j REJECT  #因为ping走的是icmp协议,并且ping没有固定端口,因此只能禁止icmp协议才能达到禁ping

[root@B8 ~]# ping -c 3 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable
From 10.0.0.8 icmp_seq=3 Destination Port Unreachable

--- 10.0.0.8 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 39ms

2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机。

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT       #在filter中设置,默认为filter表,仅同意内网内的主机主机访问外网
iptables -A INPUT -d 10.0.0.8 -p tcp --dport 80 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

[ root@B8 ~]# curl 10.0.0.18
B8

[ root@A7 ~]# curl 10.0.0.8
curl: (7) Failed to connect to 10.0.0.8 port 80: Connection refused

3、当我们发现有 ip 恶意攻击我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以 添加connlimit模块来实现对最大并发得控制。请写出步骤

iptables -A INPUT -m connlimit --connlimit-above 10 -j REJECT

[ root@A7 ~]# ping -c 1 10.0.0.8   #当A7第11次pingA8的时候就无法访问了,只能等一会再去访问就好了
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable

--- 10.0.0.8 ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms

4、现在我在外地出差使用A7互联网主机,但是现在由于公司有业务需要我 ssh 链接到内网、这时候 我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网

iptables -A INPUT -s 10.0.0.1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.128 -j ACCEPT
iptables -A INPUT -d 10.0.0.8 -j REJECT

[root@A7 ~]# ssh 10.0.0.8
The authenticity of host ‘10.0.0.8 (10.0.0.8)‘ can‘t be established.
ECDSA key fingerprint is SHA256:0/fO8ea0emb7MQyIR3OcKjWDDqO5m4oPNddMJeM/fTQ.
Are you sure you want to continue connecting (yes/no)?

[root@D1 ~]# ssh 10.0.0.8
ssh: connect to host 10.0.0.8 port 22: Connection refused

  

 

防火墙简单设置

标签:bytes   使用   erro   erp   can   put   sha   外网   inpu   

原文地址:https://www.cnblogs.com/shang-b/p/13696777.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!