Iptalbes练习题(三)
2024-09-16 03:49:45
场景需求:
(1)员工在公司内部(192.168.124.0/24 ,192.168.122.0/24 )能访问服务器上任何服务
(2)当员工出差,通过VPN连接到公司
(3)公司门户网站允许公网访问
解:
(2)外网======》VPN服务器======》公司的服务
常见允许访问外网的服务:
网站www: http 80/tcp
https 443/tcp
邮件mail: smtp 25/tcp
smtps 465/tcp
pop3 110/tcp
pop3s 995/tcp
imap 143/tcp
一些常见不允许外网访问的服务:
文件服务器: NFS 123/UDP
SAMBA 137,138,139/tcp,445/tcp
FTP 20/tcp,21/tcp
远程管理: SSH 22/tcp
数据库: MYSQL 3306/tcp
ORACLE 1521/tcp
配置规则基本思路:
ACCEPT规则:1)允许本地访问。2)允许已监听状态数据包通过。3)允许规则中允许的数据包通过。(千万别忘记22端口)
DENY规则:拒绝未被允许的数据包。
iptables规则保存成配置文件
开始。。。。。。。。。
满足条件1:
[root@test1 ~]# iptables -I INPUT -i lo -j ACCEPT
[root@test1 ~]# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@test1 ~]# iptables -A INPUT -s 192.168.124.0/ -j ACCEPT
[root@test1 ~]# iptables -A INPUT -s 192.168.122.0/ -j ACCEPT
[root@test1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/ 0.0.0.0/
ACCEPT all -- 0.0.0.0/ 0.0.0.0/
ACCEPT all -- 192.168.124.0/ 0.0.0.0/
ACCEPT all -- 192.168.122.0/ 0.0.0.0/ Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination
满足条件2,3:
[root@test1 ~]# iptables -A INPUT -p tcp --dport -j ACCEPT
[root@test1 ~]# iptables -A INPUT -p tcp --dport -j ACCEPT(VPN常用端口)
[root@test1 ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@test1 ~]# iptables -A INPUT -j REJECT
[root@test1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/ 0.0.0.0/
ACCEPT all -- 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/ 0.0.0.0/
ACCEPT all -- 0.0.0.0/ 0.0.0.0/
ACCEPT all -- 192.168.124.0/ 0.0.0.0/
ACCEPT all -- 192.168.122.0/ 0.0.0.0/
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt:
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt:
REJECT all -- 0.0.0.0/ 0.0.0.0/ reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination
保存到配置文件,设置开机自启动后,自动加载:
[root@test1 ~]# /etc/init.d/iptables save
iptables:将防火墙规则保存到 /etc/sysconfig/iptables: [确定]
[root@test1 ~]# cat /etc/sysconfig/ip
ip6tables ip6tables.old iptables-config iptables.save
ip6tables-config iptables iptables.old
[root@test1 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Mar ::
*filter
:INPUT ACCEPT [:]
:FORWARD ACCEPT [:]
:OUTPUT ACCEPT [:]
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.124.0/ -j ACCEPT
-A INPUT -s 192.168.122.0/ -j ACCEPT
-A INPUT -p tcp -m tcp --dport -j ACCEPT
-A INPUT -p tcp -m tcp --dport -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Mar ::
或者将文件保存未shell文件,将shell文件写到rc.local文件中:例如
sh /root/shell/myiptables.sh
写到rc.local中。。。
最新文章
- 玩转JavaScript OOP[2]——类的实现
- 安卓初級教程(2):SD創建file,儲存與讀寫的方法(1)
- 获取数据库表详细信息、存储过程、视图、的sql
- __doPostBack()没有定义解决方法(转)
- Ubuntu下Apache的安装
- python_day2
- php 拓展 Filter 过滤器
- 完美解决Android完全退出程序(转)
- nginx使用keepalived实现高可用
- python实现词法分析
- GDKOI2015 Day2
- (转)ZXing生成二维码和带logo的二维码,模仿微信生成二维码效果
- 夏令营讲课内容整理 Day 6 Part 2.
- Complex类的实现
- 单列模式,装饰器、new方法、类/静态方法实现单列模式
- P4932 浏览器
- 【转】2019年3月 最新win10激活密匙 win10各版本永久激活序列号 win10正式版激活码分享
- QQ网页链接打开本地QQ.exe原理
- [Android Pro] service中显示一个dialog 或者通过windowmanage显示view
- Ajax技术基础