云路由 vyatta 体验(六)防火墙
vyatta提供了强大的基于iptables的高级防火墙功能。
如果你没有定义防火墙,vyatta默认策略会禁止所有入站端口,放行所有出站。
vyatta的防火墙使用规则是这样的
1、定义好规则模板
2、将规则置于网卡之上生效
比如开放http端口到公网
- set firewall name LAN-IN default-action drop
- set firewall name LAN-IN rule 10 action accept
- set firewall name LAN-IN rule 10 description "allow http access from public"
- set firewall name LAN-IN rule 10 protocol tcp
- set firewall name LAN-IN rule 10 destination port http
- 这样就放行了所有对公网的web访问
再比如要限制公网的ssh访问
- set firewall name LAN-IN rule 20 action accept
- set firewall name LAN-IN rule 20 description "allow ssh access from some IP"
- set firewall name LAN-IN rule 20 protocol tcp
- set firewall name LAN-IN rule 20 destination port ssh
- set firewall name LAN-IN rule 20 source address 202.96.134.133
再比如限制对内某台机器的访问,譬如邮件服务器
- set firewall name LAN-IN rule 30 action accept
- set firewall name LAN-IN rule 30 description "allow smtp access from public to mail server"
- set firewall name LAN-IN rule 30 protocol tcp
- set firewall name LAN-IN rule 30 destination port smtp
- set firewall name LAN-IN rule 30 destination address 10.0.0.8
状态防火墙
- set firewall name STATE-RULE default-action drop
- set firewall name STATE-RULE description "Filter traffic statefully"
- set firewall name STATE-RULE rule 1 action accept
- set firewall name STATE-RULE rule 1 state established enable
- set firewall name STATE-RULE rule 1 state related enable
- set firewall name STATE-RULE rule 2 action drop
- set firewall name STATE-RULE rule 2 state invalid enable
- set firewall name STATE-RULE rule 2 log enable
- commit
将上面的策略放在公网网卡上
- set interfaces ethernet eth1 firewall in name LAN-IN
- set interfaces ethernet eth1 firewall in name STATE-RULE
注意上面的in,
在vyatta的防火墙中有三条通道
in 指的是入站
out 指的是出站
local 指的是防火墙本机
vyatta的防火墙还有基于其他策略的高级规则链,这里略过,详情参考官网文档。
转载于:https://blog.51cto.com/purplegrape/1063709
云路由 vyatta 体验(六)防火墙相关推荐
- 云路由 vyatta 体验(一)基本设置
vyatta是一个小巧而强大的基于debian的 Linux路由发行版,随着云计算的深入,云内部的虚拟机通信已经摆脱了物理路由器的束缚,而路由器变成了一个逻辑存在,而不是一个物理实体,云路由由此诞生, ...
- 云路由 vyatta 体验(二)NAT
上文讲述了vyatta的基本设置,本文讲述SNAT和DNAT. 局域网机器通过NAT上网是典型的SNAT,即源地址网络转换,将出口地址伪装成网关地址,从而获得合法的上网身份,SNAT广泛应用于办公室. ...
- 云路由 vyatta 体验(四)web代理
vyatta使用squid代理web上网,并提供缓存 squid监听3128端口,但是vyatta会自动将80端口请求重定向到3128,也就是透明代理. 开启web代理 set service web ...
- 换脸上阵的路由界新面孔,联想云路由动手玩
"联想牌"路由器?是的,你没听错.这是联想在"PC+"战略的又一次扩展,官方在今年4月末宣布即将推出首台智能路由器"联想云路由",在经历两周 ...
- 阿里云服务器使用体验
ESC使用体验 一,自我介绍 作为一名刚步入大三的计算机专业的学生,接触javaweb已经一年多了,终于,我也走到把自己写的项目部署到服务器的这一步了.我一步一步跟着b站的视频学习,了解到阿里云可 ...
- “类平板天线”设计 newifi新路由2体验评测
随着用户手中智能设备的增多,无线网络的质量日渐受到用户的关注,而决定网络质量的关键因素之一就是无线路由器. 近日,由谛听科技与京东智能联合推出的智能路由器--newifi新路由2来到了评测室.下面就一 ...
- linux 访问西数网盘,不买iCloud了,果粉福音:WD 西数 My Cloud Home 3TB 私有云盘 开箱体验...
不买iCloud了,果粉福音:WD 西数 My Cloud Home 3TB 私有云盘 开箱体验 2018-05-29 20:04:35 25点赞 136收藏 47评论 虽然换了很多手机,但是自己的照 ...
- python图像识别步骤_利用百度智能云结合Python体验图像识别(转载来自qylruirui)
利用百度智能云结合Python体验图像识别 只要注册了百度账号就可以轻松体验百度智能云中图像识别功能的魅力! 1. 所需要的工具 一个百度账号(大家都有哈) 一个可以运行python代码的编译器(Py ...
- 阿里云容器服务体验: 部署 ShellPays 条码支付整合服务平台 -- (四)结案陈词
上回提要 阿里云容器服务体验: 部署 ShellPays 条码支付整合服务平台 -- (一)系统概要与环境准备 阿里云容器服务体验: 部署 ShellPays 条码支付整合服务平台 -- (二)实操 ...
最新文章
- jQuery 属性操作——案例:购物车案例模块
- 函授报计算机还是工商管理,函授本科行政管理工商管理经济管理分别都有哪......
- Oracle命令--数据文件被误删后的处理
- python迭代器与生成器_Python的迭代器和生成器
- Selenium3 + Python3自动化测试系列——多窗口切换
- boost::function_types::result_type用法的测试程序
- QPW 点评点赞日志表(tf_appraise_praise)
- 【kafka】kafka Kafka分区leader迁移
- 【FlexSim2019】自学笔记:交通工具路径设置 | NetworkNode | 操作员固定路径 | 叉车固定路径
- OkHttp之ConnectInterceptor简单分析
- URAL 1586. Threeprime Numbers 数位dp
- Image Gallery
- php扫描图片条形码,php如何生成条形码图片(附代码)
- Mind Map - FreeMind
- 2020 蓝桥杯大学模拟赛(三) - 程序设计:养猫题解
- centos7 安装7z压缩命令
- 腾讯云-视频直播(android集成)
- 计算机如何寻找ppt文件,电脑上没保存的PPT怎么找回来
- 明解C语言入门篇练习题第十三章
- 常用的电平转换方案(74HC245、74LVC4245等)