linux下IPTABLES配置详解


    果IPTABLES基础知识解建议先
    开始配置
    配置filter表防火墙
    (1)查机关IPTABLES设置情况
    [root@tp ~]# iptables L n
    Chain INPUT (policy ACCEPT)
    target       prot opt source                 destination         
    Chain FORWARD (policy ACCEPT)
    target       prot opt source                 destination         
    Chain OUTPUT (policy ACCEPT)
    target       prot opt source                 destination         
    Chain RHFirewall1INPUT (0 references)
    target       prot opt source                 destination         
    ACCEPT       all        00000              00000           
    ACCEPT       icmp     00000              00000             icmp type 255 
    ACCEPT       esp        00000              00000           
    ACCEPT       ah         00000              00000           
    ACCEPT       udp        00000              22400251           udp dpt5353 
    ACCEPT       udp        00000              00000             udp dpt631 
    ACCEPT       all        00000              00000             state RELATEDESTABLISHED 
    ACCEPT       tcp        00000              00000             state NEW tcp dpt22 
    ACCEPT       tcp        00000              00000             state NEW tcp dpt80 
    ACCEPT       tcp        00000              00000             state NEW tcp dpt25 
    REJECT       all        00000              00000             rejectwith icmphostprohibited 
    出安装linux时选择防火墙开放228025端口
    果安装linux时没选择启动防火墙样
    [root@tp ~]# iptables L n
    Chain INPUT (policy ACCEPT)
    target       prot opt source                 destination         
    Chain FORWARD (policy ACCEPT)
    target       prot opt source                 destination         
    Chain OUTPUT (policy ACCEPT)
    target       prot opt source                 destination  
    什规没
    (2)清原规
    安装linux时否启动防火墙果想配置属防火墙清现filter规
    [root@tp ~]# iptables F        清预设表filter中规链规
    [root@tp ~]# iptables X        清预设表filter中者定链中规

    [root@tp ~]# iptables L n
    Chain INPUT (policy ACCEPT)
    target       prot opt source                 destination         
    Chain FORWARD (policy ACCEPT)
    target       prot opt source                 destination         
    Chain OUTPUT (policy ACCEPT)
    target       prot opt source                 destination      
    什没吧安装linux时没启动防火墙样(提前说句配置命令配置IP样重起会失作)保存
    [root@tp ~]# etcrcdinitdiptables save
    样写etcsysconfigiptables文件里写入记防火墙重起起作
    [root@tp ~]# service iptables restart
    现IPTABLES配置表里什配置没开始配置吧
    (3)设定预设规
    [root@tp ~]# iptables p INPUT DROP
    [root@tp ~]# iptables p OUTPUT ACCEPT
    [root@tp ~]# iptables p FORWARD DROP
    面意思超出IPTABLES里filter表里两链规(INPUTFORWARD)时两规里数包处理呢DROP(放弃)应该说样配置安全控制流入数包
    OUTPUT链流出包做太限制采取ACCEPT说着规里包办呢通
    出INPUTFORWARD两链采允许什包通OUTPUT链采允许什包通
    样设置挺合理然三链DROP样做认没必写规会增加果想限规做WEB服务器推荐三链DROP
    注果远程SSH登陆话输入第命令回车时候应该掉没设置规
    办机操作呗
    (4)添加规
    首先添加INPUT链INPUT链默认规DROP写需ACCETP(通)链
    采远程SSH登陆开启22端口
    [root@tp ~]# iptables A INPUT p tcp dport 22 j ACCEPT
    [root@tp ~]# iptables A OUTPUT p tcp sport 22 j ACCEPT (注规果OUTPUT 设置成DROP写部写部规导致始终法SSH远程
    端口样果开启web服务器OUTPUT设置成DROP话样添加条链
    [root@tp ~]# iptables A OUTPUT p tcp sport 80 j ACCEPT 理)
    果做WEB服务器开启80端口
    [root@tp ~]# iptables A INPUT p tcp dport 80 j ACCEPT
    果做邮件服务器开启25110端口
    [root@tp ~]# iptables A INPUT p tcp dport 110 j ACCEPT
    [root@tp ~]# iptables A INPUT p tcp dport 25 j ACCEPT
    果做FTP服务器开启21端口
    [root@tp ~]# iptables A INPUT p tcp dport 21 j ACCEPT
    [root@tp ~]# iptables A INPUT p tcp dport 20 j ACCEPT
    果做DNS服务器开启53端口
    [root@tp ~]# iptables A INPUT p tcp dport 53 j ACCEPT
    果做服务器需开启端口写行
    面写INPUT链面规里DROP
    允许icmp包通允许ping
    [root@tp ~]# iptables A OUTPUT p icmp j ACCEPT (OUTPUT设置成DROP话)
    [root@tp ~]# iptables A INPUT p icmp j ACCEPT    (INPUT设置成DROP话)
    允许loopback(然会导致DNS法正常关闭等问题)
    IPTABLES A INPUT i lo p all j ACCEPT (果INPUT DROP)
    IPTABLES A OUTPUT o lo p all j ACCEPT(果OUTPUT DROP)
    面写OUTPUT链OUTPUT链默认规ACCEPT写需DROP(放弃)链
    减少安全端口连接
    [root@tp ~]# iptables A OUTPUT p tcp sport 31337 j DROP
    [root@tp ~]# iptables A OUTPUT p tcp dport 31337 j DROP
    特洛伊木马会扫描端口3133731340(黑客语言中 elite 端口)服务然合法服务非标准端口通信阻塞端口够效减少网络感染机器远程服务器进行独立通信机会
    端口样31335274442766520034 NetBus9704137139(smb)2049(NFS)端口应禁止写全兴趣朋友应该查相关资料
    然出入更安全考虑包OUTPUT链设置成DROP添加规边添加
    允许SSH登陆样着写行
    面写更加细致规限制某台机器
    允许19216803机器进行SSH连接
    [root@tp ~]# iptables A INPUT s 19216803 p tcp dport 22 j ACCEPT
    果允许限制段IP址 1921680024 表示19216801255端IP
    24表示子网掩码数记 etcsysconfigiptables 里行删
    A INPUT p tcp m tcp dport 22 j ACCEPT 表示址登陆
    采命令方式
    [root@tp ~]# iptables D INPUT p tcp dport 22 j ACCEPT
    然保存说边反采命令方式时生效果想重起起作保存写入etcsysconfigiptables文件里
    [root@tp ~]# etcrcdinitdiptables save
    样写 19216803 表示19216803ip址
    规连接样设置
    面FORWARD链FORWARD链默认规DROP写需ACCETP(通)链正转发链监控
    开启转发功(做NAT时FORWARD默认规DROP时必须做)
    [root@tp ~]# iptables A FORWARD i eth0 o eth1 m state state RELATEDESTABLISHED j ACCEPT
    [root@tp ~]# iptables A FORWARD i eth1 o eh0 j ACCEPT
    丢弃坏TCP包
    [root@tp ~]#iptables A FORWARD p TCP syn m state state NEW j DROP
    处理IP碎片数量防止攻击允许秒100
    [root@tp ~]#iptables A FORWARD f m limit limit 100s limitburst 100 j ACCEPT
    设置ICMP包滤允许秒1包限制触发条件10包
    [root@tp ~]#iptables A FORWARD p icmp m limit limit 1s limitburst 10 j ACCEPT
    前面允许ICMP包通里限制
    二配置NAT表放火墙
    1查机关NAT设置情况
    [root@tp rcd]# iptables t nat L
    Chain PREROUTING (policy ACCEPT)
    target       prot opt source                 destination         
    Chain POSTROUTING (policy ACCEPT)
    target       prot opt source                 destination         
    SNAT         all        1921680024         anywhere              to21110146235
    Chain OUTPUT (policy ACCEPT)
    target       prot opt source                 destination    
    NAT已配置(提供简单代理网功没添加防火墙规)关配置NAT参考篇文章
    然果没配置NAT话清规NAT默认情况什没
    果想清命令
    [root@tp ~]# iptables F t nat
    [root@tp ~]# iptables X t nat
    [root@tp ~]# iptables Z t nat
    2添加规
    添加基NAT址转换(关配置NAT篇文章)
    添加规添加DROP链默认链全ACCEPT
    防止外网网IP欺骗
    [root@tp sysconfig]# iptables t nat A PREROUTING i eth0 s 100008 j DROP
    [root@tp sysconfig]# iptables t nat A PREROUTING i eth0 s 172160012 j DROP
    [root@tp sysconfig]# iptables t nat A PREROUTING i eth0 s 1921680016 j DROP
    果想阻止MSNQQBT等话需找端口者IP(认没太必)
    例:
    禁止21110146253连接
    [root@tp ~]# iptables t nat A PREROUTING    d 21110146253 j DROP
    禁FTP(21)端口
    [root@tp ~]# iptables t nat A PREROUTING p tcp dport 21 j DROP
    样写范围太更精确定义
    [root@tp ~]# iptables t nat A PREROUTING    p tcp dport 21 d 21110146253 j DROP
    样禁21110146253址FTP连接连接web(80端口)连接
    写找QQMSN等软件IP址端口基什协议着写行

    drop非法连接
    [root@tp ~]# iptables A INPUT     m state state INVALID j DROP
    [root@tp ~]# iptables A OUTPUT    m state state INVALID j DROP
    [root@tp ~]# iptablesA FORWARD m state state INVALID j DROP
    允许已建立相关连接
    [root@tp ~]# iptablesA INPUT m state state ESTABLISHEDRELATED j ACCEPT
    [root@tp ~]# iptablesA OUTPUT m state state ESTABLISHEDRELATED j ACCEPT
    [root@tp ~]# etcrcdinitdiptables save
    样写etcsysconfigiptables文件里写入记防火墙重起起作.
    [root@tp ~]# service iptables restart

    忘保存行写部保存次.边保存边做实验否达求
    面规试没问题.
    写篇文章1月时间.查找资料做实验希家帮助.全完善方请提出
    篇文章配置关IPTABLES基础知识指令命令说明等会快传然网搜索
     

    文档香网(httpswwwxiangdangnet)户传

    《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
    该内容是文档的文本内容,更好的格式请下载文档

    下载文档到电脑,查找使用更方便

    文档的实际排版效果,会与网站的显示效果略有不同!!

    需要 3 香币 [ 分享文档获得香币 ]

    下载文档

    相关文档

    Linux中samba服务器配置方法课程设计报告

    《网络操作系统》课程设计报告题 目 Linux中samba服务器配置方法 姓 名 __ 学 号 同 组 者 ...

    3年前   
    471    0

    基于Linux的FTP服务器的安装与配置课程设计

    1 引言1.1课程设计目的 自从有了网络以来,通过网络来传输文件一直是一项很重要的工作,不但可以实现文件的下载和上传,而且可以设置不同的用户访问权限,并支持大文件的断点续传功能。采用F...

    1年前   
    303    0

    linux与windows 编程区别

    linux windows 编程的区别 如果一个程序员从来没有在linux,unix下开发过程序,一直在windows下面开发程序, 同样是工作10年, 大部分情况下与在linux,unix...

    7年前   
    2583    0

    linux学习心得

    linux学习心得第一篇:linux学习心得linux学习心得我们这一代90后,从小接触的是windows98,家里条件好的自己有电脑装的是2014,后来又有了xp,上大学时又有了win7。说...

    10年前   
    336    0

    Linux系统管理

    Linux系统管理(1~2章) Linux内核版本 例如:2 5 7 中间为奇数表示开发版,中间为偶数表示稳定版例如:2 6 18 图形界面转向字符终端:ctrl+alt+Fn 重启:...

    12年前   
    11853    0

    基于Linux的广告机系统

    基于Linux的广告机系统基于Linux的广告机系统摘 要一般来说,广告系统,被称为广告系统是在网络信息技术时代的飞速发展中产生的新类型的网络多媒体信息发布系统。在这个系统的基础上,用户可以...

    2年前   
    598    0

    配置

    各岗位人力资源配置要求 部门 岗位编制 人员配置要求 人 力 资 源 部 ...

    9年前   
    24927    0

    定制Linux系统环境变量

    Linux是一个多用户的操作系统。每个用户登录系统后,都会有一个专用的运行环境。通常每个用户默认的环境都是相同的,这个默认环境实际上就是一组环境变量的定义。用户可以对自己的运行环境进行定制,其...

    1天前   
    58    0

    Linux运维工程师的职责

    Linux运维工程师的职责职责:1、 负责服务台排班,管理服务台日常运营,业务及时上传下达。2、 保证服务台服务提供效率,及时发现问题、解决问题。3、 负责服务纠纷及突发事件的处理工作。4、 ...

    2年前   
    467    0

    linux编程SHELL编程实验报告

    Linux编程课程设计报告题 目: Linux Shell编程 专 业 学 号 姓 名 ...

    1年前   
    593    0

    Linux-Vsftps服务搭建

    非常安全的 FTP 服务进程(Very Secure FTP daemon,Vsftpd),Vsftpd 在 Unix/Linux 发行版中最主流的 FTP 服务器程序,优点小巧轻快,安全易用、...

    5年前   
    1072    0

    linux考试题答案

    linux考试题答案一、试完成下列小题:(1) 在根目录下创建目录aacd /->mkdir aa(2) 在根目录下创建一个文件cc,然后把cc拷贝到aa下 touch cc->cp ...

    8个月前   
    267    0

    配置管理

     配置管理 文件编号: NP601100 ...

    10年前   
    12012    0

    招聘与配置

    第二章 招聘与配置 第一节 员工素质测评标准体系的构建 一、 员工素质测评的基本原理: (一)个体差异原理 (二)工作差异原理 (三)人岗匹配原理:人岗匹配包括:工作要求与员工素质相...

    12年前   
    28589    0

    配置库管理报告

       配置库管理报告 来自:http://www.chinaspis.com 作者:林锐 电子工业出版社出版发行 { 项目名称 } 配置库管理报告 文件状态: [√] 草稿...

    14年前   
    12882    0

    linux操作系统目录结构及主要内容

    Linux操作系统目录结构及主要内容   “/”根目录部分有以下子目录:     /usr(unix software resource) 目录包含所有的命令、程序库、文档和其它文件。...

    5年前   
    1314    0

    实训2Linux 的目录及相关命令

    实训2   Linux 的目录及相关命令 一、实训目标    1.了解和掌握Linux操作系统的目录概念 2.掌握Linux目录相关命令的基本使用 3.了解Red Hat Linux...

    5年前   
    762    0

    操作系统课外实践报告Linux进程管理

    操作系统课外实践报告项 目 名 称: Linux 进程管理 所 在 班 级: 软件工程(10.Ne...

    1年前   
    295    0

    No6_Array_SPX工程安装配置手册_Portal Theme配置部分

    Array SPX工程安装配置手册Portal Theme配置部分 SPX可以让用户通过一个Portal页面方便,安全的访问到被保护的资源。在用户经过登陆页面正确的认证后,他将会看到一个欢迎页...

    3年前   
    591    0

    公文排版详解

    公文排版详解  一、设置页面(“页面布局”—“页面设置”)  (一)“页边距”  1.页边距:上3厘米、下2.5厘米、左2.6厘米、右2.5厘米。  2.纸张方向:纵向。  (二)“...

    6年前   
    2416    0