基于IP地址,端口的访问控制

实验环境:

某公司的web服务器,网关服务器均采用centos6.5操作系统,为了加强网络访问的安全性,要求管理员熟悉iptables防火墙规则的编写,以便指定有效、可行的主机防护策略。

拓扑:

clip_image002

需求描述:

? 一、为网站服务器编写入站规则

1)允许接收响应本地ping测试请求的各种ICMP数据包

2)允许访问本机中位于80端口的web服务,禁止访问其他端口的TCP请求

3)允许发往本机以建立连接或与已有连接相关的各种TCP数据包

4)禁止其他任何形式的入站访问数据

? 二、为网关服务器编写转发规则

1)允许局域网中的主机访问internet中的web、ftp、dns、邮件服务

2)禁止局域网中的主机访问web.qq.com、w.qq.com、im.qq.com等网站,以防止通过webQQ的方式进行在线聊天

实验步骤

1. 为网站服务器编写入站规则

1)本例中所有规则均在filter表的INPUT链内添加,默认策略设置为DROP

clip_image004

2)使用“-p icmp !--icmp-type8”的条件匹配非ICMP请求的数据包

clip_image006

3)使用“-p tcp --dport 80”的条件匹配对TCP80端口的访问

clip_image008

4)使用”-p tcp -m state --state ESTABLISHED,RELATED“ 匹配TCP响应数据包

clip_image010

5)测试入站控制效果,从其他主机可以访问本机中的web服务,但不能访问其他任何服务(如FTP、DNS);从本机可以ping通其他主机,但其他主机无法凭通本机

clip_image012

clip_image014

clip_image016

clip_image018

clip_image020

2. 为网关服务器编写转发规则

1)本例中所有规则均在filter表的FORWARD链内添加,默认策略设置为DROP

clip_image022

2)针对TCP协议的80、20、21、25、110、143端口,以及UDP协议的53端口,分别为从局域网访问internet,从internet响应局域网请求的过程编写转发规则

clip_image024

3)执行DNS查询,获知站点web.qq.com、w.qq.com、im.qq.com当前所用的IP地址包括:112.90.141.88、112.90.141.163、112.90.141.164、58.251.149.159、58.251.60.202、123.138.238.100、123.138.238.101,然后依次针对这些IP地址编写转发规则,禁止到TCP协议的80、443端口的访问

4)测试转发控制效果,从局域网中的主机无法访问internet中的web.qq.com等被封站点,但能够访问其他web站点,也能够访问DNS,FTP等网络服务

总结: