配置服务器Gateway防火墙可按以下步骤操作,需根据服务器操作系统选择对应工具:
设置网络接口
# 配置内网接口(ens33)
ip addr add 192.168.1.1/24 dev ens33
# 配置外网接口(ens38)
ip addr add 公网IP/24 dev ens38
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
配置NAT(可选)
iptables -t nat -A POSTROUTING -o ens38 -j MASQUERADE
设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
允许必要服务
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
限制特定IP或端口
iptables -A INPUT -p tcp -s 信任IP --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
保存规则
iptables-save > /etc/iptables/rules.v4
通过图形界面配置
命令行配置(PowerShell)
New-NetFirewallRule -DisplayName "HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
端口转发
# 将公网80端口转发到内网192.168.1.100的80端口
iptables -t nat -A PREROUTING -i ens38 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
iptables -A FORWARD -j ACCEPT
日志与监控
iptables -A INPUT -j LOG --log-prefix "Firewall-Dropped: "
tail -f /var/log/syslog(Ubuntu)或/var/log/messages(CentOS)。ping测试网络连通性,telnet或nc测试端口是否开放。iptables -L -n(Linux)或“高级安全Windows防火墙”界面查看规则是否生效。注意:配置前建议备份现有规则,测试环境优先验证规则正确性,避免影响生产环境。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。