当前位置:网站首页>Debian 10 iptables (防火墙)配置
Debian 10 iptables (防火墙)配置
2022-07-31 05:19:00 【活加梦】
目录
一、题目要求
IPTABLES (IspSrv)
- 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;
- 放行 ICMP 流量;
二、 配置过程
IspSrv
1.下载iptables防火墙服务
[email protected]:~# apt -y install iptables-persistent2.修改 INPUT 和 FORWARD 链默认规则为DROP
[email protected]:~# iptables -P INPUT DROP #INPUT链拒绝所有流量进入
[email protected]:~# iptables -P FORWARD DROP #FORWARD链拒绝所有流量转发
[email protected]:~# netfilter-persistent save #保存进配置文件
3.放行icmp流量
[email protected]:~# iptables -A INPUT -p icmp -j ACCEPT #放行进站的icmp流量
[email protected]:~# iptables -A OUTPUT -p icmp -j ACCEPT #放行出站的icmp流量
[email protected]:~# netfilter-persistent save #将规则保存进配置文件
添加必要的放行规则,在确保安全 的前提下,最小限度放行流量通信;(在后面题目中会慢慢完善)
三 、测试截图与评分要点
测试:IspSrv
评分要点:
四、扩展内容
删除规则
iptables -D FORWARD(INPUT/OUTPUT) 1
iptables -t nat -D POSTROUTING (INPUT/PREROUTING) 2允许icmp通过
iptables -A INPUT -p icmp -j ACCEPT #放行所有IP的入站icmp流量
iptables -A OUTPUT -p icmp -j ACCEPT #放行所有IP的入站icmp流量
iptables -A FORWARD -p icmp -j ACCEPT #如果是作为网关路由器要放开转发的icmp流量NAT转换规则
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens38 -j MASQUERADE # -s 表示哪些网段需要nat转换,-o 表示用那个网卡出去外网。允许DNS解析(自己访问外网DNS服务器)
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT允许别人访问本身的DNS(自己是DNS服务器)
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT网关防火墙上(流量都是从你这台服务器上出去)
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWAD -p udp --sport 53 -j ACCEPT
将dns 53 端口映射到100的服务器上(网关服务器)
iptables -t nat -A PREROUTING -d 81.6.63.254 -p tcp --dport 53 -j DNAT --to-destination 192.168.100.100
#将去往81.6.63.254 目的是tcp的53端口映射到192.168.100.100的tcp的53端口
iptables -t nat -A PREROUTING -d 81.6.63.254 -p udp --dport 53 -j DNAT --to-destination 192.168.100.100
#将去往81.6.63.254 目的是udp的53端口映射到192.168.100.100的udp的53端口
允许dhcp发放地址(dhcp服务器)
iptables -A INPUT -p udp --dport 67 -j ACCEPT #客户端从68号端口发 服务端从67端口收允许来着客户端同步ntp服务器(服务器)
iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT允许同步ntp服务器(客户端)
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A OUTPUT -p upd --dport 123 -j ACCEPT路由防火墙
iptables -A FORWAD -p udp --dport 123 -j ACCEPT服务器访网页允许被访问
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT客户端访问网页
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OOUTPUT -p tcp --dport 80 -j ACCEPT路由器防火墙写入
iptables -A FORWAD -p tcp --dport 80 -j ACCEPT
iptables -A FORWAD -p tcp --sport 80 -j ACCEPT允许从dns服务器向主服务器同步dns
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT允许主dns服务器给从服务器同步dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT允许主从dns同步(网关服务器)
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWAD -p tcp --sport 53 -j ACCEPT边栏推荐
猜你喜欢
随机推荐
MySQL官网8.0.17 安装教程(适合离线安装)
Qt TreeView 问题记录
client
windows下mysql忘记密码登录,并创建用户
map和set
滴滴被罚超80亿!收集并泄露1.07亿条乘客人脸识别信息
C语言对文件的操作(完整版)
定义一个生成器函数,用代码写一个和range函数功能相同的函数,re模块中函数的使用
哪吒监控安装脚本
能否更上一层楼?探究 CMake 争论
PyTorch Study Notes 08 - Loading Datasets
顶级程序员都是怎么做的?
C语言静态变量static
十分钟教你玩转分支语句!!!!!小白速进,新手福利!!
Unity Text一个简单的输入特效
小型网站组建(ENSP)
多线程截取视频为每帧
国际站卖家大促攻略,只需要做好这几件事
ES6-01-ES的简介
Unity加载GIf动画