iptables简单单网防火墙应用

所谓单网防火墙，是指部署在一台单机上的防火墙软件。该软件主要负责监听本机网口进出的数据包，
并根据防火墙软件的访问规则，对进出的封包进行过滤，来达到保护作用。
单网防火墙的保护范围只能保护本地应用，无法保护网络上的其它主机。

 

实验环境

网络中现有一台linux服务器，IP:192.168.1.90，为192.168.1.0网段主机提供www、ftp、email服务。
现要求根据iptables制定的规则对该服务器进行访问。

规则如下
允许192.168.1.0网段主机访问服务器的www、ftp、email服务，其它服务禁止访问。
允许192.168.1.30主机访问服务器telnet及ssh端口，其它主机禁止访问。
允许192.168.1.30主机发送ICMP包，其它主机禁止响应。

 

#/bin/bash
Server=192.168.1.90
network=192.168.1.0/24
ipt=/sbin/iptables

#添加防火墙INPUT默认规则,将所有发送到INPUT列数据包DROP掉
$ipt -P INPUT DROP

#清除防火墙filter中所有规则
$ipt -t filter -F

#允许192.168.1.30主机向防火墙发送ICMP数据包
$ipt -t filter -A INPUT -p icmp -s 192.168.1.30 -d $Server -j ACCEPT

#允许192.168.1.0网段主机访问防火墙的web服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 80 -j ACCEPT

#允许192.168.1.0网段主机访问防火墙的ftp服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 21 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 20 -j ACCEPT

#允许192.168.1.0网段主机访问防火墙的email服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 443 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 110 -j ACCEPT

#允许192.168.1.30主机对防火墙进行远程访问
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 22 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 23 -j ACCEPT

#允许所有协议状态为ESTABLISHED,RELATED数据包通过
$ipt -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

查看访问规则

[root@linuxinfo ~]# iptables -t filter -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     icmp --  192.168.1.30         linuxinfo          
ACCEPT     tcp  --  192.168.1.0/24       linuxinfo           tcp dpt:http
ACCEPT     tcp  --  192.168.1.0/24       linuxinfo           tcp dpt:ftp
ACCEPT     tcp  --  192.168.1.0/24       linuxinfo           tcp dpt:ftp-data
ACCEPT     tcp  --  192.168.1.0/24       linuxinfo           tcp dpt:https
ACCEPT     tcp  --  192.168.1.0/24       linuxinfo           tcp dpt:pop3
ACCEPT     tcp  --  192.168.1.30         linuxinfo           tcp dpt:60000
ACCEPT     tcp  --  192.168.1.30         linuxinfo           tcp dpt:telnet
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination