iptables作业

1、拒绝所有主机ping当前的主机。

   iptables -A INPUT  -p icmp -j REJECT

2、本机能够访问别的机器的HTTP服务，但是别的机器无法访问本机。

   iptables -A INPUT -s 本机IP -p tcp --dport 80 -j REJECT

3、当我们发现有 ip 恶意攻击我们得时候，我们可以通过对防火墙设定规则来进行控制。所以我们可以
添加connlimit模块来实现对最大并发得控制。请写出步骤

   iptables -A INPUT -d 本机IP -m connlimit --connlimit-above 10 -j REJECT

 

4、实践题
实验前提需求

主 机 名	IP地址	充当角色
A7	192.168.1.128（仅主机）eth0	互联网服务器
A8	192.168.1.129（仅主机）/eth1 10.0.0.8（NAT）/eth0 NAT设备他有一个 是链接外网的ip有一个是链接内网的ip。	防火墙NAT设备
B8	10.0.0.18（NAT）eth0	局域网服务器

 

 

 

 

 

 

 

 

 

 

现在我在外地出差使用A7互联网主机，但是现在由于公司有业务需要我 ssh 链接到内网、这时候
我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网
请写出实现过程：

 

[root@A8 ~]#echo 1 > /proc/sys/net/ipv4/ip_forward
[root@A8 ~]#cat /proc/sys/net/ipv4/ip_forward
1
[root@A8 ~]#iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18
[root@A8 ~]#iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.1.129 tcp dpt:22 to:10.0.0.18

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

 

 

 

[root@A7 ~]#ssh 192.168.1.129
The authenticity of host '192.168.1.129 (192.168.1.129)' can't be established.
ECDSA key fingerprint is SHA256:YoOzFpGvLCEKkNwtyTqWMSroTT8mEAEP1qg520/npNw.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.1.129' (ECDSA) to the list of known hosts.
root@192.168.1.129's password:
Last login: Sat Sep 19 17:51:38 2020 from 192.168.1.128