素材网站建设,拍卖网站开发,1个云虚拟主机怎么做多个网站,芝罘区网防火墙
ping#xff08;网络测试工具#xff0c;测试主机之间的可达性#xff09;原理#xff1a; 发送一些小的网络数据包#xff08;ICMP数据包#xff09;到目标主机#xff0c;并等待目标主机返回一个响应#xff08;通常是回显应答 Echo Reply#xff09;。
ss…防火墙
ping网络测试工具测试主机之间的可达性原理 发送一些小的网络数据包ICMP数据包到目标主机并等待目标主机返回一个响应通常是回显应答 Echo Reply。
ssh一种安全的远程访问协议原理 连接到远程主机时SSH客户端和服务器之间会进行密钥交换以建立一个安全的通道SSH使用公钥加密和私钥解密来确保通信的保密性和完整性
一、包过滤防火墙规则配置实验
实验目标 内部网络IP192.168.110.0/24可以PING外部设备192.168.100.0/24但是外部设备不能PING内部设备。
使用iptables ExterNet192.168.100.110 Firewall 192.168.100.1 192.168.110.1 IntraNet192.168.110.110 Chain INPUT 如果数据包的目的地址是本机则系统将数据包送往Input链。如果通过规则检查则该包被发给相应的本地进程处理如果没有通过规则检查系统就会将这个包丢掉。
Chain FORWARD 如果数据包的目的地址不是本机也就是说这个包将被转发则系统将数据包送往Forward链。如果通过规则检查则该包被发给相应的本地进程处理; 如果没有通过规则检查系统就会将这个包丢掉。
Chain OUTPUT 如果数据包是由本地系统进程产生的则系统将其送往Output链。如果通过规则检查则该包被发给相应的本地进程处理如果没有通过规则检查系统就会将这个包丢掉。
拒绝请求包或者拒绝响应包即可
拒绝请求包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPiptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.100.0/24 -d 192.168.110.0/24 -j DROPiptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP拒绝响应包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPiptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.110.0/24 -d 192.168.100.0/24 -j DROP思考题 若在实验步骤6中设置默认规则将ICMP出入报文设置为Accept放行如何实现该功能请设计实验完成实验并记录。
只使用转发链INPUT 与 OUTPUT 链不受 ping 的影响
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.100.0/24 -d 192.168.110.0/24 -j DROP二、防火墙NAT路由转换配置实验
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPTiptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE
或
iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 --dport 22 -j DNAT --to-destination 192.168.110.110:22vim /etc/ssh/ssh_config
注释掉 PermitRootLogin
重启ssh服务命令 service sshd restart内部设备访问外部设备
ssh root192.168.100.110
连接成功后查看ssh连接发起方IP
who
外部设备访问内部设备
ssh root192.168.100.1
连接成功后查看SSH连接到的设备IP
ip addrservice iptables save
service iptables restart
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 --dport 22 -j DNAT --to-destination 192.168.110.110:22
