iptables는 eth1의 인터넷 측을 차단합니까?

tag-icon tag-icon linux centos security iptables firewall
iptables는 eth1의 인터넷 측을 차단합니까?

iptables를 사용하여 두 개의 이더넷 포트를 처리하는 방법은 무엇입니까?

eth0 포트는 LAN용(192.168.1.50 개인 IP)입니다.

eth1 포트는 케이블 모뎀(80.0.xxx.xxx 공용 IP)을 통해 인터넷에 연결됩니다.

ifconfig산출:

eth0      Link encap:Ethernet  HWaddr 00:19:99:C1:86:BB
          inet addr:192.168.1.50  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:137532 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55658 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:99968969 (95.3 MiB)  TX bytes:10403525 (9.9 MiB)
          Interrupt:50 Memory:fe700000-fe720000

eth1      Link encap:Ethernet  HWaddr 00:19:99:C1:61:3B
          inet addr:80.0.xxx.xxx  Bcast:255.255.255.255  Mask:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:144558 errors:0 dropped:0 overruns:0 frame:0
          TX packets:70347 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:34500131 (32.9 MiB)  TX bytes:27893843 (26.6 MiB)
          Interrupt:177 Memory:fe600000-fe620000

eth1iptables를 사용하여 들어오는 모든 경로를 차단 하고 포트 22만 허용하려면 어떻게 해야 합니까 ? 이러한 방식으로 인터넷 측은 당사의 웹 서버, FTP 서버 등에 액세스할 수 없습니다. SSH 액세스에는 포트 22만 허용됩니다. 핑(Ping)도 작동해야 합니다.

로컬 네트워크( eth0)에는 70대가 넘는 클라이언트 PC가 있습니다. 서버의 모든 항목에 액세스할 수 있어야 하지만 내부 로컬 IP 192.168.1.20 및 192.168.1.30이 192.168.1.50(개인 IP) 서버에 액세스하지 못하도록 차단합니다. .

iptables를 사용하여 이를 수행하는 방법은 무엇입니까?

답변1

-i device-o device이더넷 장치를 일치시키는 데 사용할 수 있습니다 . 예를 들어,

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT # must allow machine to talk to itself, else much breakage.
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

아니면 그런 것. -s/를 사용하여 -d소스 및 대상 IP 주소를 필터링 할 수도 있습니다 .

-i lan대신 &를 사용할 수 있도록 이더넷 인터페이스의 이름을 지정하는 것이 좋습니다 -i wan. udev 규칙에서 이름을 지정할 수 있습니다. 데비안에서는 /etc/udev/rules.d/70-persistent-net.rules.

추신: WAN 인터페이스를 필터링할 때 DHCP가 여전히 유효한지 확인하십시오(사용하는 경우). 그렇지 않으면 임대가 만료될 때 연결이 갑자기 끊어질 수 있습니다. 이는 잠시 후일 수 있습니다.

답변2

주의 깊은! !

SSH를 위해 포트 21을 여는 것을 언급하셨습니다. 포트 21의 표준 사용법은 ftp이고, 포트 22는 표준 SSH입니다. 비표준 SSH 포트를 사용하는 것이 가능하고 때로는 필요하지만, 잊어버리면(또는 다른 사용자에게 알리는 것을 잊어버리면) 결국 엄청난 골칫거리가 될 것입니다.

일반적으로 사용되는 iptables 예제 모음은 여기에서 찾을 수 있습니다.

http://www.thegeekstuff.com/2011/06/iptables-rules-examples/

보다 일반적인 IPTables 참조:

https://help.ubuntu.com/community/IptablesHowTo

관련 정보