企业级防火墙与NAT网关配置
实训背景
某公司需部署一台Linux网关服务器,要求实现以下功能:
- 基础防火墙:仅允许SSH(22)、HTTP(80)、HTTPS(443)入站,拒绝其他所有流量。
- 共享上网(NAT):允许内网(192.168.10.0/24)通过该网关访问互联网。
- 端口转发(DNAT):将公网IP的TCP 8080端口映射到内网Web服务器(192.168.10.100:80)。
- 支持FTP服务:内网FTP服务器(192.168.10.200:21)需允许被动模式数据传输。
环境准备
硬件/软件要求
- 三台虚拟机(VirtualBox/VMware):
- 网关服务器:双网卡(eth0: NAT模式模拟公网,eth1: 内部网络 192.168.10.1)
- 内部服务器:单网卡(内部网络 192.168.10.100,部署Apache)
- 外部客户端:单网卡(NAT模式模拟公网)
- 操作系统:Ubuntu 22.04/CentOS 8
- 工具:
iptables,iproute2,curl,ftp-client
网络拓扑
外部互联网 (eth0:NAT) ↓
网关服务器 (eth1:192.168.10.1) ↓
内部网络 (192.168.10.0/24) ├── Web服务器 (192.168.10.100:80) └── FTP服务器 (192.168.10.200:21)
实训步骤
任务1:基础防火墙配置
目标:保护网关服务器,仅开放必要端口。
-
清空规则并设置默认策略
iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT -
允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT -
允许已建立的连接和关联流量
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -
开放SSH、HTTP、HTTPS
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
验证:
- 从外部客户端执行
nmap -p 22,80,443 网关公网IP,应显示开放端口。 - 尝试连接其他端口(如
telnet 网关公网IP 3306),应被拒绝。
任务2:配置NAT(共享上网)
目标:允许内网通过网关访问互联网。
-
启用IP转发
echo 1 > /proc/sys/net/ipv4/ip_forward # 永久生效(编辑/etc/sysctl.conf) sysctl -w net.ipv4.ip_forward=1 -
配置SNAT(源地址转换)
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE -
允许内网流量转发
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
验证:
- 在内网服务器执行
ping 8.8.8.8,应能连通。 - 在内网服务器执行
curl ifconfig.me,返回的IP应为网关的公网IP。
任务3:配置端口转发(DNAT)
目标:将公网IP的8080端口映射到内网Web服务器的80端口。
-
添加DNAT规则
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.10.100:80 -
允许转发到内网Web服务器
iptables -A FORWARD -d 192.168.10.100 -p tcp --dport 80 -j ACCEPT
验证:
- 在外部客户端执行
curl http://网关公网IP:8080,应返回内网Web服务器的页面。
任务4:支持FTP被动模式
目标:允许外部访问内网FTP服务器(被动模式)。
-
加载FTP连接跟踪模块
modprobe nf_conntrack_ftp # 永久生效 echo "nf_conntrack_ftp" >> /etc/modules-load.d/modules.conf -
允许FTP控制连接
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to-destination 192.168.10.200:21 iptables -A FORWARD -d 192.168.10.200 -p tcp --dport 21 -j ACCEPT -
放行动态数据端口(RELATED状态)
iptables -A FORWARD -m conntrack --ctstate RELATED -j ACCEPT
验证:
- 在外部客户端使用FTP客户端连接
ftp://网关公网IP:21,上传/下载文件应成功。
实训总结
通过本案例,您已掌握以下技能:
- 使用iptables配置基础防火墙规则,保护服务器关键端口。
- 通过SNAT实现内网共享上网。
- 利用DNAT实现公网端口到内网服务的映射。
- 结合连接跟踪(Conntrack)支持FTP等动态端口协议。
知识要点
| 要点 | 说明 |
|---|---|
| Netfilter钩子 | PREROUTING(DNAT)、POSTROUTING(SNAT)、INPUT/OUTPUT/FORWARD链 |
| 四表优先级 | raw → mangle → nat → filter |
| 有状态过滤 | -m conntrack --ctstate 匹配连接状态 |
| NAT类型 | SNAT(源地址转换)、DNAT(目标地址转换) |
| 动态协议支持 | 加载nf_conntrack_ftp模块,利用RELATED状态 |
下一步扩展:尝试配置ICMP限速、日志记录(LOG动作)或DDoS防护(如限制并发连接数)。
相关文章:
企业级防火墙与NAT网关配置
实训背景 某公司需部署一台Linux网关服务器,要求实现以下功能: 基础防火墙:仅允许SSH(22)、HTTP(80)、HTTPS(443)入站,拒绝其他所有流量。共享上网…...
AI数据分析的正道是AI+BI,而不是ChatBI
一、AI大模型在数据分析中的应用现状与局限 当前用户直接上传PDF、Excel等原始数据至AI大模型进行自动分析的趋势显著,但其技术成熟度与落地效果仍需审慎评估。 1.主流AI大模型的数据分析能力对比 GPT-4/Claude 3系列:在通用数据分析任务中表现突出&a…...
C++设计模式优化实战:提升项目性能与效率
🧑 博主简介:CSDN博客专家、CSDN平台优质创作者,高级开发工程师,数学专业,拥有高级工程师证书;擅长C/C、C#等开发语言,熟悉Java常用开发技术,能熟练应用常用数据库SQL server,Oracle…...
G1学习打卡
🍨 本文为🔗365天深度学习训练营 中的学习记录博客🍖 原作者:K同学啊 import argparse import os import numpy as np import torchvision.transforms as transforms from torchvision.utils import save_image from torch.utils.…...
8.2 对话框2
版权声明:本文为博主原创文章,转载请在显著位置标明本文出处以及作者网名,未经作者允许不得用于商业目的 8.2.3 FolderBrowserDialog(文件夹对话框) 组件 FolderBrowserDialog组件,用于选择文件夹 Folder…...
:操作与实现详解)
Java中的列表(List):操作与实现详解
引言 列表(List)是Java集合框架中最基础且使用最频繁的线性数据结构。它允许有序存储元素,支持重复值和快速访问。本文将深入探讨Java列表的核心操作方法,并剖析两种经典实现类(ArrayList和LinkedList)的底…...
在kotlin的安卓项目中使用dagger
在 Kotlin 的 Android 项目中使用 Dagger(特别是 Dagger Hilt,官方推荐的简化版)进行依赖注入(DI)可以大幅提升代码的可测试性和模块化程度。 1. 配置 Dagger Hilt 1.1 添加依赖 在 bu…...
)
MongoDB常见面试题总结(上)
MongoDB 基础 MongoDB 是什么? MongoDB 是一个基于 分布式文件存储 的开源 NoSQL 数据库系统,由 C 编写的。MongoDB 提供了 面向文档 的存储方式,操作起来比较简单和容易,支持“无模式”的数据建模,可以存储比较复杂…...
leetcode6.Z字形变换
题目说是z字形变化,但其实模拟更像n字形变化,找到字符下标规律就逐个拼接就能得到答案 class Solution {public String convert(String s, int numRows) {if(numRows1)return s;StringBuilder stringBuilder new StringBuilder();for (int i 0; i <…...
VSCode中选择Anaconda的Python环境
1、安装Anaconda 2、安装VSCode 一、创建创建新的 Conda 环境 conda create --name myenv python3.8 conda activate myenv 二、在 VSCode 中配置 Conda 环境 1、打开 VSCode,安装 Python 插件。 2、按 CtrlShiftP 打开命令面板,输入并选择 Pytho…...
【基于规则】基于距离的相似性度量
基于点:设时两条序曲线分别为X,Y,在曲线上选取点Xx和Yy,计算点之间的距离,用来度量两条曲线的相似性。这类算法的精确度取决于选点的规则,以及距离的计算方式 欧几里得距离:不允许时间偏移,直接计算两个时序数据点之间的距离,适用于长度相同的序列 dtw:优化了选点的方…...
)
Python 序列构成的数组(当列表不是首选时)
当列表不是首选时 虽然列表既灵活又简单,但面对各类需求时,我们可能会有更好的选 择。比如,要存放 1000 万个浮点数的话,数组(array)的效率要高 得多,因为数组在背后存的并不是 float 对象&…...
)
LeetCode零钱兑换(动态规划)
题目描述 给你一个整数数组 coins ,表示不同面额的硬币;以及一个整数 amount ,表示总金额。 计算并返回可以凑成总金额所需的 最少的硬币个数 。如果没有任何一种硬币组合能组成总金额,返回 -1 。 你可以认为每种硬币的数量是无…...
vscode+wsl 运行编译 c++
linux 的 windows 子系统(wsl)是 windows 的一项功能,可以安装 Linux 的发行版,例如(Ubuntu,Kali,Arch Linux)等,从而可以直接在 windows 下使用 Linux 应用程序…...
C++学习之libevent ②
目录 1.连接服务器函数bufferevent_socket_connect() 2.bufferevent缓冲区的读写函数bufferevent_write() bufferevent_read() 3.给bufferevent设置回调函数bufferevent_setcb() 4.bufferevent回调函数的函数原型 5.基于bufferevent的套接字客户端处…...
彩色路径 第32次CCF-CSP计算机软件能力认证
应该用dp做的但是我太懒懒得看题解了 留到考试的时候看 超时20分代码: #include<bits/stdc.h> using namespace std; int N, M, L, K; struct Edge {int to, length;Edge(int to, int length) :to(to), length(length) {} }; vector<int> color;//颜色…...
第1章 绪论
自1946年,第一台计算机问世以来,计算机产业飞速发展。为了编写出一个好得程序,必须分析待处理的对象的特征以及各处理对象之间存在的关系。这就是数据结构这门学科形成和发展的背景。 1.1什么是数据结构 数据结构是计算机科学中组织和存储数…...
Eureka+Nacos)
SpringCloud微服务(一)Eureka+Nacos
一、认识 微服务技术对比: SpringCloud: 版本匹配: 二、服务拆分以及远程调用 消费者与提供者: Eureka: 搭建EurekaServer: Ribbon负载均衡: 实现原理: IRule:规则接口…...
)
Python 字典和集合(子类化UserDict)
本章内容的大纲如下: 常见的字典方法 如何处理查找不到的键 标准库中 dict 类型的变种set 和 frozenset 类型 散列表的工作原理 散列表带来的潜在影响(什么样的数据类型可作为键、不可预知的 顺序,等等) 子类化UserDict 就创造自…...
时区转换工具+PWA离线网页
时区转换工具PWA离线网页 一、时区转换工具对比 工具说明Date原生 JS API,有限的时区支持,无法指定时区,仅使用本地时区。Intl.DateTimeFormat原生格式化显示,可指定时区,但不能修改时区逻辑。luxon强烈推荐…...
Hadoop序列化与反序列化具体实践
首先创建两个类 两个类的代码 Student类: import org.apache.hadoop.io.Writable;import java.io.DataInput; import java.io.DataOutput; import java.io.IOException;public class Student implements Writable {public Student(String name, int age) {this.n…...
)
Github AI开发者生态最新动态今日速览(20250408)
以下是截至2025年4月8日的GitHub AI开发者生态最新动态速览,结合技术更新、工具发布及行业趋势: 1. GitHub Copilot 重大升级与生态扩展 Agent Mode全量发布:Copilot在VS Code中启用Agent模式,可自主完成多文件代码重构、测试驱动…...
通过扣子平台将数据写入飞书多维表格
目录 1.1 创建飞书开放平台应用 1.2 创建飞书多维表格 1.3 创建扣子平台插件 1.1 创建飞书开放平台应用 1.1.1 打开地址:飞书开放平台,点击创建应用 注:商店应用需要申请ISV资质,填写企业主体信息,个人的话&#x…...
WEB安全--内网渗透--Kerberos之AS_REQAS_REP
一、前言 之前的文章提到过,在内网的域环境中,服务器之间默认使用的是Kerberos协议。 光了解NTLM协议是远远不够的,为了内网渗透,我后面将详细介绍Kerberos协议的原理以及漏洞的利用。 二、Kerberos协议 Kerberos是一种网络身份…...
【Hadoop入门】Hadoop生态之MapReduce简介
1 MapReduce核心原理 MapReduce是一种分布式计算框架,专为处理大规模数据集设计。其核心理念是将复杂计算任务分解为两个核心阶段: Map阶段:将输入数据分割为独立片段,并行处理生成中间键值对Reduce阶段:对Map阶段输出…...
使用Scrapy编写图像下载程序示例
最近闲来无事想要用Scrapy库来编写一个图像下载程序。首先,我得回忆一下Scrapy的基本结构。Scrapy是一个强大的爬虫框架,适合用来抓取网页数据,包括图片。不过,用户可能不太熟悉Scrapy的具体用法,特别是图片下载的部分…...
Linux/树莓派网络配置、远程登录与图形界面访问实验
一.准备工作 1.修改网络适配器(选择本机网卡) 2.创建一个新的用户。 3.使用新用户登录,使用ip a指令查看IP(现代 Linux 发行版(如 Ubuntu、Debian、CentOS、Fedora 等))。 通过sudo arp-sca…...
01-Redis-基础
1 redis诞生历程 redis的作者笔名叫做antirez,2008年的时候他做了一个记录网站访问情况的系统,比如每天有多少个用户,多少个页面被浏览,访客的IP、操作系统、浏览器、使用的搜索关键词等等(跟百度统计、CNZZ功能一样)。最开始存储…...
MCP-Playwright: 赋予AI模型操控浏览器的能力
在人工智能快速发展的时代,我们一直在寻找让AI与现实世界更好地交互的方式。今天我想向大家介绍一个强大的开源项目:MCP-Playwright,它正在改变AI模型与Web环境交互的方式。 源码地址:https://github.com/executeautomation/mcp-…...
Scala集合计算高级函数及案例
一、说明 1.过滤:遍历集合,获取满足指定条件的元素组成新集合 2.转化 / 映射(map):将集合中的每个元素映射到某一个函数 List(1, 2, 3, 4, 5, 6, 7, 8, 9)中每个元素加 1,得到List(2, 3, 4, 5, 6, 7, 8,…...
如何测试一个API接口?从原理到实践详解
在微服务架构和前后端分离的现代软件开发中,API接口是系统的“血管”,承担着数据传输与逻辑处理的核心功能。本文将用通俗的语言,结合实例,系统讲解API接口测试的原理、方法及工具,助你掌握这一关键技能。 目录 …...
)
弹簧质点系统(C++实现)
本文实现一个简单的物理算法:弹簧质点系统(Mass-Spring System)。这是一个经典的物理模拟算法,常用于模拟弹性物体(如布料、弹簧等)的行为。我们将使用C来实现这个算法,并结合链表数据结构来管理…...
java设计模式-代理模式
代理模式(proxy) 基本介绍 1、代理模式:为一个对象提供一个替身,一控制对这个对象的访问。即通过代理对象访问目标对象。这样做的好处是:可以在目标对象实现的基础上,增强额外的功能操作,及扩展目标对象的功能。 2、被…...
【比赛编排软件的设计与实现】
有个朋友想要一个比赛编排软件,闲来无事,花几个晚上的时间帮忙编写了一下,主要本人也比较喜欢看NBA,想尝试实现类似的功能。最终实现功能展示如下: 
nginx如何实现负载均衡?
Nginx 是一款高性能的 Web 服务器和反向代理服务器,它可以通过配置实现负载均衡功能。以下是实现负载均衡的详细步骤和方法: 1. 基本概念 负载均衡是将客户端请求分发到多个后端服务器上,以提高系统的可用性和性能。Nginx 支持多种负载均衡策…...
Jetson NX开发板基础配置全指南
一、系统刷机教程 1. 准备工作 硬件准备: ✅ Jetson NX开发板 ✅ 19V 电源适配器 ✅ Type-C数据线 ✅ 16GB以上Micro SD卡 软件准备: 🔹 SDK Manager 🔹 Ubuntu 20.04虚拟机或者物理机 2. 刷机步骤 进入恢复模式: …...
】Reactor)
【Linux高级IO(三)】Reactor
核心代码 Epoller.hpp #pragma once#include "nocopy.hpp" #include <cerrno> #include <sys/epoll.h> #include <unistd.h> #include <string.h> #include "Log.hpp"class Epoller : public nocopy //类Epoller继承自nocopy类&a…...
山东大学计算机网络第五章习题解析
参考教材:计算机网络:自顶向下方法:原书第 8 版 / (美)詹姆斯F. 库罗斯(James F. Kurose),(美)基恩W. 罗斯(Keith W. Rose)著…...
openexr-2.3.0-windows编译
本文操作按照《c&c开源库编译指南》中内容规范编写,编译环境配置、工具下载、目录规划,及更多其他开源库编译方法请参考该文章。 c&c开源库编译指南:https://blog.csdn.net/binary0006/article/details/144086155 本文章中的源代码已…...
【NLP 面经 8】
目录 一、文本生成任务 模型架构方面 训练数据方面 生成策略方面 二、命名实体识别任务NER 模型架构方面 特征工程方面 训练优化方面 三、情感分析任务 模型架构方面 训练数据方面 超参数调整方面 四、计算余弦相似度并添加符合条件结果 提示: 思路与算法 任由深渊的…...
Qt项目——记事本
目录 前言工程文档一、功能介绍二、界面预览三、UI设计师工具四、给三个按钮设置贴图五、信号与槽六、实现文件打开功能代码实现代码实现 七、实现文件保存代码内容 八、实现文件关闭代码实现 九、显示高亮和行列位置代码实现 十、实现快捷功能代码实现 总结 前言 这个项目就是…...
WHAT - React 惰性初始化
目录 在 React 中如何使用惰性初始化示例:常规初始化 vs. 惰性初始化1. 常规初始化2. 惰性初始化 为什么使用惰性初始化示例:从 localStorage 获取值并使用惰性初始化总结 在 React 中,惰性初始化(Lazy Initialization)…...
HOW - 如何测试 React 代码
目录 一、使用 React 测试库:testing-library/react二、使用测试演练场:testing-playground.com三、使用 Cypress 或 Playwright 进行端到端测试四、使用 MSW 在测试中模拟网络请求 一、使用 React 测试库:testing-library/react testing-li…...
React 条件渲染
开发环境:Reacttsantd 通常你的组件会需要根据不同的情况显示不同的内容。在 React 中,你可以通过使用 JavaScript 的 if 语句、&& 和 ? : 运算符来选择性地渲染 JSX。 例子 我们在满足 isPacked{true} 条件的物品清单旁加上一个勾选符号✔。…...
使用 Canal 实现 MySQL 与 ES 数据同步的技术实践
前言 本文将详细讲解如何使用阿里的 Canal 工具,实现 MySQL 向 ES(Elasticsearch)的数据同步。 数据同步有多种方式,双写同步数据方式因性能慢、存在分布式事务及数据一致性问题、业务耦合度高且难以扩展,不适合采用…...
《实战AI智能体》什么是 Scrum 项目管理及为什么需要它
Scrum 项目管理是一种敏捷项目管理方法,强调团队合作、迭代开发和客户参与。它的核心概念包括 Scrum 团队、产品待办事项列表、Sprint、每日站立会议、Sprint 回顾会议等。Scrum 团队由产品负责人、Scrum 主管和开发团队组成,他们共同负责项目的规划、执行和交付: 产品待办事…...
智能硬件开发革命:低代码平台+物联网
物联网和低代码开发 初识物联网 物联网的概念 20 世纪末,随着计算机网络和通信技术的兴起,互联网开始走进并融入人们的生活。传统互联网通常以人作为主体,数据的产生和传输都在人的控制下进行,数据的应用结果也在具体的人身上得…...
「合诚」携手企企通共建新材料和健康产业采购数智化新生态
在科技革命与产业变革深度融合的时代背景下,新材料与健康产业正迎来数字化、智能化的快速发展。 技术突破与消费升级的双重驱动,推动着行业不断创新,同时也对企业的供应链管理提出了更高要求。 1、合诚:聚焦新材料与健康产业&am…...
ansible角色
一、角色 role 本质上就是目录 /etc/ansible/roles 1、创建角色 tree查看目录结构 在同一个角色中,相互引用文件、操作时,不需要添加任何路径 删除角色,将角色目录中的角色文件删除 案例:部署zabbix agent 执行角色...
WHAT - React 元素接收的 ref 详解
目录 1. ref 的基本概念2. 如何使用 ref2.1 基本用法2.2 类组件使用 createRef 3. forwardRef 转发 ref4. ref 的应用场景5. ref 和函数组件总结 在 React 中,ref(引用)用于访问 DOM 元素或类组件实例。它允许我们直接与元素进行交互…...