本实验用白名单的方式配置以下个题目

Chain INPUT (policy ACCEPT )主机默认ACCEPT方式

第一题拒绝所有主机ping 当前的主机
iptables -A INPUT -j REJECT

第二题本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

第三题当我们发现有ip恶意攻击我们的时候,我们可以通过对防火墙设定规则来进行控制,所以我们应该添加connlimit模块来实现对最大并发的控制。
ptables -A INPUT -m connlimit --connlimit-above 10 -j REJECT

4实践题

主机A7 192.168.0.128(主机模式)eth0模拟外网
主机A8 防火墙 192.168.1.129 eth1模拟外网 10.0.0.8(NAT)模拟内网
主机B8 10.0.0.18 (NAT) eth0内网
假设主机A7外地出差,想ssh连接到内网,如何在主机B上配置防火墙规则
主机A8防火墙配置如下:

[root@firewall ~]# ehco  1 >  /proc/sys/net/ipv4/ip_forward     开启防火墙ip_forward转发功能(  0:关闭转发;1:开启转发)

 

 

[root@firewall ~]# iptables -A INPUT -j REJECT            拒绝访问所有服务
[root@firewall ~]# iptables -I INPUT -s 10.0.0.18 -d 192.168.0.128 -p tcp --sport 22 ACCEPT        主机B的数据可通过ssh传给主机A7
[root@firewall ~]# iptables -I INPUT -s 192.168.0.128 -d 10.0.0.18 -p tcp --dport 22 ACCEPT         主机A7可以用ssh访问主机B8

主机A7链接主机B8

[root@hostA7 ~]#   ssh   10.0.0.18  实验完成