手动部署企业级防火墙设置,防火墙架设

部署企业级防火墙 手动部署防火墙

(1)清空所有的规则,用户自定义链以及计数器。

[root@192 ~]# iptables -F[root@192 ~]# iptables -X[root@192 ~]# iptables -Z

(2)将默认规则设置为DROP

​ 先设置ssh相关数据为ACCEPT:

//两种使用一种就可以[root@192 ~]# iptables -A INPUT -p tcp -s 192.168.40.0/24 -j ACCEPT[root@192 ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT

(3)设置允许本机lo通信规则

iptables -A INPUT -i lo -j ACCEPT​iptables -A OUTPUT -o lo -j ACCEPT [root@192 ~]# iptables -nvLChain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 93 6776 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 23 packets, 2408 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0

(4) 将默认规则设置为DROP

[root@192 ~]# iptables -P INPUT DROP[root@192 ~]# iptables -P FORWARD DROP[root@192 ~]# iptables -P OUTPUT ACCEPT [root@192 ~]# iptables -P INPUT DROP[root@192 ~]# iptables -P FORWARD DROP[root@192 ~]# iptables -P OUTPUT ACCEPT[root@192 ~]# iptables -nvLChain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 340 25040 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 32 packets, 3232 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — * lo 0.0.0.0/0 0.0.0.0/0

(5)开启信任的IP网段

#setting Lan access rules#允许IDC LAN/WAN和办公网IP的访问,及对外合作机构访问iptables -A INPUT -s 124. 43.62. 96/27 -p all -j ACCEPT //办公室固定IP段。iptables -A INPUT -s 192. 168. 1.0/24 -p all -j ACCEPT //IDC机房的内网网段。iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT //其他机房的内网网段。iptables -A INPUT -s 203. 83. 24. 0/24 -P all -j ACCEPT //DC机房的外网网段。iptables -A INPUT -s 201. 82.34. 0/24 -P all -j ACCEPT //其它IDC机房的外网网段。

提示:本步骤表示允许IDC LAN和办公网IP的无条件连接访问,因为是我们自己“人”,所以要信任通过
但是,对于外部用户还无法访问服务器的任何服务。好,我们继续!

(6)允许业务服务端口对外访问(允许http服务无条件通过)

[root@192 ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT

(7)允许icmp类型协议通过

[root@192 ~]# iptables -A INPUT -p icmp -m icmp –icmp-type any -j ACCEPT

(7)允许关联的包通过

[root@192 ~]# iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT[root@192 ~]# iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

(8) 以上规则配置好后,还没有记录在磁盘中,重启服务器就会丢失,需要将这些配置保存在磁盘中,有两种方法。

​ 方法一:

#将防火墙规则保存在 /etc/sysconfig/iptables当中/etc/init.d/iptables save

​ 方法二:

iptables -save >/etc/sysconfig/iptables 自动部署防火墙

​ 将所有的规则放在一个.sh文件

生产环境iptables脚本讲解

​ 问题:企业硬件防火墙和iptables防火墙是否要同时使用?

​ 解决:可以同时使用。企业硬件防护墙一般放在网关位置,相当于大厦保安,但是,楼里的每个屋子还需要有人或者锁门的(iptables)。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注