一般情況下
iptables
只作為主機防火牆使用,但是在特殊情況下也可以使用iptables
對整個網絡進行流量控制和網絡安全防護等功能,在本文中,我們使用iptables
對三台服務器的安全進行安全防護
網絡防火牆相比於主機防火牆而言,范圍更大,不用對網絡內的各主機各自設置防火牆規則就可以保證其安全性,但是必須在網絡的進出口才能對出入數據包進行限制
除了fire
主機,其他主機皆關閉SElinux
和iptables
FTP
,WEB
,DNS
服務器安裝配置這裡就不寫了,有興趣的看我以前的博客AnyISalIn的文章
以下操作在192.168.1.103進行
dns
服務能夠正常使用
ftp
服務能夠正常使用
web
服務能夠正常使用
我們對
dns,web.ftp
服務器分別進行ping
,ssh
等操作
大家應該夠知道,服務器開放的端口越多就越危險,所以我們在網絡防火牆對其進行規則定義
[root@fire ~]# iptables -P FORWARD DROP #設置FORWARD鏈默認策略為DROP
[root@fire ~]# modprobe nf_conntrack_ftp #裝載追蹤FTP被動連接模塊
[root@fire ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT
解釋一下上面幾條規則的作用
第一條規則將FORWARD
鏈的默認策略設置為DROP
,那麼默認所有的數據包將不能通過FORWARD
的轉發
第二條規則狀態nf_conntrack_ftp
模塊,使得iptables
能夠追蹤FTP
鏈接的狀態,使數據連接得以建立
第三條意思是狀態使ESTABLISHED
和RELATED
允許通過,指的是已建立鏈接或者追蹤鏈接建立能夠通過
第四條意思是允許訪問目標地址為192.168.2.0
網段,端口為21/TCP
和80/TCP
狀態為NEW能
夠通過,指的是新的鏈接能通過
第五條是為DNS
查詢而添加的規則,指的是允許訪問目標地址為192.168.2.3的地址且目標端口為
53/UDP的
NEW`狀態能夠通過,同指新的鏈接能夠通過
大家看!現在已經不能對服務器進行非法訪問了
ftp
服務能正常訪問
web
服務能正常訪問
dns
服務能正常訪問
本文只做了一些簡單的限制,不過足以限制用戶只能訪問”該訪問”的服務,這當然不能運用於生產環境中,畢竟設計簡陋,大家笑笑就好