运维开发网

iptables作业

运维开发网 https://www.qedev.com 2020-09-20 13:03 出处:51CTO 作者:qq5f1c1508eb90f
1、拒绝所有主机ping当前的主机。[[email protected]~]#iptables-AINPUT-picmp--icmp-type8-jREJECT2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机。[[email protected]~]#iptables-AINPUT-ptcp--dport80-jREJECT3、当我们发现有ip恶意***我们得时候,我们可以通过对防火墙设定规则来进行控

1、拒绝所有主机ping当前的主机。

[[email protected] ~]#iptables -A INPUT -p icmp --icmp-type 8 -j REJECT

2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机。

[[email protected] ~]#iptables -A INPUT -p tcp --dport 80  -j REJECT

3、当我们发现有 ip 恶意***我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以

添加connlimit模块来实现对最大并发得控制。请写出步骤

[[email protected] ~]#iptables -A INPUT  -m connlimit --connlimit-above 2 -j REJECT

4、实践题

实验前提需求

iptables作业

现在我在外地出差使用A7互联网主机,但是现在由于公司有业务需要我 ssh 链接到内网、这时候我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网

请写出实现过程:

iptables作业

三台服务器

centos8为A7

centos8-2为防火墙

centos8-3为B8

[[email protected] ~]#vim  /etc/sysconfig/network-scripts/ifcfg-eth0 
BOOTPROTO=static
DEFROUTE=yes
NAME=eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.1.12
[[email protected] ~]#nmcli connection reload
[[email protected] ~]#nmcli connection up eth0

[[email protected] ~]#vim /etc/sysconfig/network-scripts/ifcfg-eth0
BOOTPROTO=static
DEFROUTE=yes
NAME=eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.1.129
[[email protected] ~]#cp  /etc/sysconfig/network-scripts/ifcfg-eth0  /etc/sysconfig/network-scripts/ifcfg-eth1
[[email protected] ~]#vim  /etc/sysconfig/network-scripts/ifcfg-eth1
BOOTPROTO=static
DEFROUTE=yes
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=10.0.0.8
NETMASK=255.255.255.0
[[email protected] ~]#nmcli connection reload
[[email protected] ~]#nmcli connection delete Wired\ connection\ 1 
Connection 'Wired connection 1' (da8fde13-101b-32ab-abea-554059d85c3f) successfully deleted.
[[email protected] ~]#nmcli connection up eth0;nmcli connection up eth1
[[email protected] ~]#iptables -t nat PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18:22
[[email protected] ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward=1
[[email protected] ~]#sysctl -p 
net.ipv4.ip_forward=1
[[email protected] ~]#vim  /etc/sysconfig/network-scripts/ifcfg-eth0 
BOOTPROTO=static
DEFROUTE=yes
NAME=eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=10.0.0.18
GATEWAY=10.0.0.8
NETMASK=255.255.255.0
[[email protected] ~]#nmcli connection reload
[[email protected] ~]#nmcli connection up eth0

测试结果

[[email protected] ~]#ssh 192.168.1.129
The authenticity of host '192.168.1.129(192.168.1.129)' can't be established.
ECDSA key fingerprint is SHA256:EYgFRNsIOT9o7kxtAXGl/9qRMHTyTV8aTgGVvsWtQj0.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.1.129' (ECDSA) to the list of known hosts.
[email protected]'s password: 
Last login: Sat Sep 19 20:17:29 2020 from 192.168.1.1
[[email protected] ~]#ll /
total 18
drwxr-xr-x.   2 root root    6 Aug 16 17:35 apps
drwxr-xr-x    2 root root    6 Aug 19 11:03 artuoliya
lrwxrwxrwx.   1 root root    7 May 11  2019 bin -> usr/bin
dr-xr-xr-x.   6 root root 4096 Aug 14 20:13 boot
drwxr-xr-x.   3 root root   20 Aug 16 17:47 data
drwxr-xr-x   19 root root 3260 Sep 10 09:51 dev
drwxr-xr-x.  82 root root 8192 Sep 19 20:17 etc
drwxr-xr-x.   3 root root   16 Aug 16 17:04 home
lrwxrwxrwx.   1 root root    7 May 11  2019 lib -> usr/lib
lrwxrwxrwx.   1 root root    9 May 11  2019 lib64 -> usr/lib64
drwxr-xr-x.   2 root root    6 May 11  2019 media
drwxr-xr-x.   5 root root   42 Aug 19 10:59 mnt
drwxr-xr-x.   2 root root    6 May 11  2019 opt
dr-xr-xr-x  218 root root    0 Sep 10 09:51 proc
dr-xr-x---.   3 root root  169 Sep 10 14:18 root
drwxr-xr-x   23 root root  700 Sep 19 20:17 run
lrwxrwxrwx.   1 root root    8 May 11  2019 sbin -> usr/sbin
drwxr-xr-x.   2 root root    6 May 11  2019 srv
dr-xr-xr-x   13 root root    0 Sep 10 09:51 sys
drwxr-xr-x    3 root root 2048 Aug 19 12:46 test
drwxrwxrwt.   6 root root  142 Sep 10 14:19 tmp
drwxr-xr-x.  12 root root  144 Aug 14 20:03 usr
drwxr-xr-x.  20 root root  278 Sep 10 14:19 var

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号