Linux防火墻白名單設(shè)置_第1頁
Linux防火墻白名單設(shè)置_第2頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、在linux系統(tǒng)中安裝yum install iptables-services然后vi /etc/sysconfig/iptables# Generated by iptables-save v1. 4.7 on Sun Aug 28 12:14:02 2016filter:INPUT ACCEPT 0:0:FORWARD ACCEPT 0:0:OUTPUT ACCEPT 0:0#ip(ip)-N whitelist-A whitelist -s -j ACCEPT-A whitelist -s x.x.x.x -j ACCEPT#這些 ACCEPT端號,公內(nèi)都可訪問-A INPUT -m

2、state -state ESTABLISHED,RELATED -j ACCEPT #允許接受本機(jī)請求之后的返回?cái)?shù)據(jù)RELATED,FTP設(shè)置的-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 13020 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 100

3、0:8000 -j ACCEPT #10008000之間的所有端#下是 whitelist 端號,僅限 服務(wù)器之間 通過內(nèi) 訪問-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 80 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 443 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -

4、dport 25 -j whitelist#ip開放的端,結(jié)束-A INPUT -j REJECT -reject-with icmp-host-prohibited-A FORWARD -j REJECT -reject-with icmp-host-prohibited COMMIT解釋:添加防墻過濾規(guī)則步驟如下;1、查看現(xiàn)有防墻過濾規(guī)則:iptables -nvL -line-number2、添加防墻過濾規(guī)則(設(shè)置名單):)添加名單iptables -I INPUT 3 -s 63 -p tcp -dport 1521 -j ACCEPT命令詳解:-I:添加規(guī)則的參數(shù)INPUT:表外部主

5、機(jī)訪問內(nèi)部資源規(guī)則鏈: 1)INPUT進(jìn)來的數(shù)據(jù)包應(yīng)此規(guī)則鏈中的策略 2)OUTPUT外出的數(shù)據(jù)包應(yīng)此規(guī)則鏈中的策略 3)FORWARD轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)應(yīng)此規(guī)則鏈中的策略 4)PREROUTING對數(shù)據(jù)包作路由選擇前應(yīng)此鏈中的規(guī)則(記??!所有的數(shù)據(jù)包進(jìn)來的時(shí)侯都先由這個(gè)鏈處理)POSTROUTING對數(shù)據(jù)包作路由選擇后應(yīng)此鏈中的規(guī)則(所有的數(shù)據(jù)包出來的時(shí)侯都先由這個(gè)鏈處理)3:表添加到第三(可以任意修改)-s:指定作為源地址匹配,這不能指定主機(jī)名稱,必須是IP;: 于匹配協(xié)議的(這的協(xié)議通常有種,TCP/UDP/ICMP)-dport: 于匹配端號: 于匹配處理式:常的ACTION: DROP:悄

6、悄丟棄,般我們多DROP來隱藏我們的份,以及隱藏我們的鏈表REJECT:明拒絕ACCEPT:接受)查看添加結(jié)果iptables -nvL -line-number然后重啟防墻即可效重啟防墻的命令:service iptables restart此時(shí),防墻規(guī)則只是保存在內(nèi)存中,重啟后就會失效。使以下命令將防墻配置保存起來;保存到配置中:service iptables save (該命令會將防墻規(guī)則保存在/etc/sysconfig/iptables件中。)-附:開放端段30003008iptables -A INPUT -p tcp -dport 3000:3008 -j ACCEPT開放ip

7、段iprange模塊提供了兩個(gè)匹配參數(shù)::匹配來源地址的范圍,例如,iptables -A INPUT -p tcp:匹配的地址的范圍,例如,iptables -A OUTPUT -p tcp-j DROP-src-range-dst-range-m iprange -src-range -1-j DROP-m iprange -dst-range -1禁戶訪問iptables -I FORWARD -d -j DROPiptables命令(-A、-I、-L等、1、常命令列表: (-A-D-R-I-L)()(INPUT)中,該規(guī)則將會成為規(guī)則鏈中的最后條規(guī)則。說明 從某個(gè)規(guī)則鏈中刪除條規(guī)則,可以輸完整規(guī)則,或直接指定規(guī)則編號加以刪除。-I,-insert范例 iptables -I INPUT1-dport 80 -j ACCEPT(1)上的規(guī)則將會往后移動個(gè)順位。說明 將封包計(jì)數(shù)器歸零。封包計(jì)數(shù)器是來計(jì)算同封包出現(xiàn)次數(shù),是過濾阻斷式攻擊不可或缺的具。-E,-rename-chain范例 iptables -E allowed disallowed說明 修改某訂規(guī)則鏈的名稱。View Code釋義,可參考:規(guī)則的刪除等:下是可能于防慢連接攻擊的式#,100個(gè)iptables -A FORWARD -f -m limit

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論