作业三

# iptables的j简单应用

 

### 1、拒绝所有主机ping当前的主机

````bash
当前主机IP：10.0.0.7

iptables -A INPUT -d 10.0.0.7 -p icmp --icmp-type 8 -j REJECT
````

### 2、本机能够访问别的机器的HTTP服务，但是别的机器无法访问本机

```bash
当前主机IP：10.0.0.7

iptables -A INPUT -d 10.0.0.7 -p tcp --dport 80 -j REJECT

```

### 3、当我们发现有 ip 恶意攻击我们得时候，我们可以通过对防火墙设定规则来进行控制。所以我们可以添加connlimit模块来实现对最大并发得控制

```bash
本机IP：10.0.0.7

iptables -A INPUT -d 10.0.0.7 -m connlimit --connlimit-above 10 -j REJECT
```

### 实践

**实验前提需求：**

| 主机名 | IP地址 | 充当角色 |
| ------ | ------------------------------------------------------------ | ------------- |
| A7 | 192.168.1.128（仅主机）eth0 | 互联网服务器 |
| A8 | 192.168.1.129（仅主机）/eth1 10.0.0.8（NAT）/eth0 NAT设备他有一个是链接外网的ip有一个是链接内网的ip。 | 防火墙NAT设备 |
| B8 | 10.0.0.18（NAT）eth0 | 局域网服务器 |

现在我在外地出差使用A7互联网主机，但是现在由于公司有业务需要我 ssh 链接到内网、这时候我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网

**实现过程：**

```bash
1、当实验使用Linux主机充当防火墙时，需要启动路由转变发功能

echo 1 > /proc/sys/net/ipv4/ip_forward (只是临时有效)

echo "net.ipv4.ip_forward=1 " > /etc/sysctl.conf
sysctl -p (永久保存)

2、防火墙配置
iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 9527 -j DNAT --to-destination 10.0.0.18:2222

说明： 2222端口为局域网服务器修改过后的的ssh服务端口
```