linux iptables实践操作
一.拒绝所有主机ping当前主机
iptables -A INPUT -p icmp -j ERJECT
iptables -ATNPUT -s ! 10.0.0.0/24 -p icmp --icmp-type 8 -j REJECT
二、本机能够访问别的机器httpd服务,但别的机器无法访问本机
方式一:
iptables -AFORWARD -j REJECT #先禁止所有其他机器访问本机
#允许本机10.0.0.0/24访问外网192.168.0.0/24
#iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.0.0/24
或
#iptables -A -t nat POSTROUTING -s l0.0.0.0/24 -p tcp --dport 80 -j MASQUERADE
方式二:
iptables -A INPUT -p tcp --syn -j REJECT
iptables -A INPUT -m state --state NEW -j REJECT
三、当我们发现有ip恶意攻击我们的时候。我们可以通过防火墙设定规则来进行控制。所以我们可以添加connlimit模块来实现对最大并发的控制。写出步骤
#当外部主机访问攻击本主机网站,如果链接数大于10,就拒绝链接
iptables -A INPUT -d 10.0.0.8 -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
或 #限流,限制icmp协议前十个不受限制,限制后面一分钟通20个,即通一个限制两个(效果比上面较差)
iptables -IINPUT 3 -p icmp -m limit --limit 20/minute --limit-burst 10 -j ACCEPT
四、实践题
实验环境
现在我在外地出差使用A7互联主机,但是由于公司有业务需要我ssh链接到内网,这时候,我就链接公司同事,在防火墙上配置相关规则让我链接进公司内网
请写出实现过程
构建网络拓扑图如下:
**A7互联网服务器:**
eth0 192.168.1.128 仅主机模式
**防火墙B8:**
eth0:192.168.1.129 (仅主机模式)
eth1: 10.0.0.8 (NAT)
**局域网B8:**
eth0:10.0.0.18 (NAT) GW 10.0.0.8
**A8防火墙添加规则,允许192.168.0.1访问内网**
iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18
Vim /etc/sysctl.conf
Sysctl -p
net.ipv4.ip_forward=1
**测试创建规则:**
[root@A7 ~]# ssh 192.168.1.129
root@B8 password:
[root@B8 ~]# ssh 192.168.1.128
^C
**测试结果:只能外网访问内网,反之禁止**
