Linux的iptables常用配置范例(2)
iptables -F #清除所有规则
iptables -X #清除所有自定义规则
iptables -Z #各项计数归零
iptables -P INPUT DROP #将input链默认规则设置为丢弃
iptables -P OUTPUT DROP #将output链默认规则设置为丢弃
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT #对运行在本机回环地址上的所有服务放行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #把这条语句插在input链的最前面(第一条),并且对状态为ESTABLISHED,RELATED的连接放行。
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT #允许本机访问其他80服务
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT #允许本机发送域名请求
iptables -A OUTPUT -p icmp -j ACCEPT #对本机出去的所有icmp协议放行,其实如果仅仅只是允许本机ping别的机器,更为严谨的做法是将此语句修改为:
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
对状态为ESTABLISHED和RELATED的包放行,简单的说,就是说对允许出去的包被对方主机收到后,对方主机回应进来的封包放行。这条语 句很重 要,可以省去写很多iptables语句,尤其是在有ftp服务器的场合。你理解了这个意思,就应该知道,有了这条语句,第6条语句其实是可以省略的。
封网站:
iptables -F
iptables -X
iptables -Z
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.10 -d www.qq.com -j DROP(禁止网站)
iptables -A FORWARD -p tcp -s 192.168.1.11/24 -d www.qq.com -o eth0 -j DROP(禁止网段)
iptables -A FORWARD -p tcp -s 192.168.1.12 -d 192.168.1.13 -o eth0 -j DROP(禁止IP)
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT (这条写在禁止网站的下面)
#安全规则类似windows防火墙
iptables -A INPUT -p tcp –dport 1:1024 -j DROP
iptables -A INPUT -p udp –dport 1:1024 -j DROP 这两条可以防止nmap探测
iptables -A INPUT -p tcp –dport ** -j ACCEPT (要开放的端口)
#允许的端口,相对协议改一下就可以了, (端口过虑)
============================================
iptables架设安全的vsftp服务器
在实际工作中,可用以下脚本架设一台很的内部FTP;当然也可以配合Wireshark理解 vsftpd的被动与主动的区别,以本机192.168.0.10为例,脚本如下:
#!/bin/bash
-F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
#开启ip转发功能
echo “1” > /proc/sys/net/ipv4/ip_forward
#加载ftp需要的一些模块功能
modprobe ip_conntrack_ftp
modprobe ip_conntrack-tftp
modprobe ip_nat_ftp
modprobe ip_nat_tftp
#为了更安全,将OUTPUT默认策略定义为DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
#开放本机的lo环回口,建议开放,不开放的会出现些莫名其妙的问题
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#下面的脚本是架设安全的vsftpd关健,后二句脚本是放行服务器向客户端作回应的和已建立连接的数据包,因被动FTP比较复杂,六次握手,所以这里采用状态来做
iptables -A INPUT -s 192.168.0.0/24 -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp –sport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
=====================================
内网web服务器 适用于中小型公司有内网服务器发布的IPT
=====================================
防止攻击扫描
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT
–limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
# Null Scan(possibly)XiKc.om
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP#ubuntu保存与开机加载
iptables-save > iptables.up.rules
cp iptables.up.rules /etc/
vi /etc/network/interfacesiptables-save > iptables.up.rules cp iptables.up.rules /etc/ vi /etc/network/interfaces
#在interfaces末尾加入
pre-up iptables-restore < /etc/iptables.up.rules
pre-up iptables-restore < /etc/iptables.up.rules#也可以设置网卡断开的rules。
post-down iptables-restore < /etc/iptables.down.rules
post-down iptables-restore < /etc/iptables.down.rules
#保存
service iptables save
强制所有的客户机访问192.168.1.100这个网站
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.100 (PREROUTING和DNAT一起使用,POSTROUTING和SNAT一起使用)
发布内网的web服务器192.168.1.10
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 192.168.1.10
端口映射到内网的3389
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 192.168.1.10:3389
来源:http://www.ha97.com/3929.html
Linux的iptables常用配置范例(2)相关推荐
- Linux ip route 常用配置
Linux ip route 常用配置 路由: 路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳的传输路径,并将该数据有效地传送到目的站点.由此可见,选择最佳路径的策略即路由算法是路由器的关键 ...
- Linux下iptables防火墙配置
目录 一.Linux防火墙基础 1.1 防火墙概述 1.2 四表五链 二. iptables--命令 2.1 iptables的安装 2.2 iptables的配置方法 三.配置Filter表防火墙 ...
- Linux中iptables防火墙配置实例分享
转自:http://www.jbxue.com/LINUXjishu/9827.html iptables -I OUTPUT -d 192.168.1.2 -j DROP // 禁止往外向192.1 ...
- 服务器防火墙,linux下iptables防火墙配置相关
iptables防火墙 iptables常用命令 iptables配置文件`/etc/sysconfig/iptables` iptables服务命令 -- 启动服务 -- 停止服务 -- 重启服务 ...
- iptables常用配置规则
防洪水***: iptables -t nat -F Flood iptables -t nat -I Flood -j DROP iptables -t nat -I Flood -m limit ...
- ssh linux 配置文件详解,Linux ssh服务常用配置的详细描述及建议配置
SSH服务常用选项描述 配置文件: /etc/ssh/sshd_config 1.AddressFamliy any:支持那IP协议:比如ipv4,ipv6,:默认 any: 2.Port 22 :S ...
- IPTABLES常用配置
查看规则: [root@www ~]# iptables –t filter –L #查看filter表,因为iptables表只能在INPUT.FORWORD.OUTPUT三个地方使用,故而就 ...
- linux防火墙iptables常用应用功能实现
1.mac过滤 功能:过滤包含mac地址的设备 白名单 iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j ACCEPT 黑名单 ...
- 高性能计算linux集群常用配置
1.检查超线程 查看线程数:grep siblings /proc/cpuinfo |uniq 查看物理核心数:grep cores /proc/cpuinfo |uniq 2.检查操作系统版本 ca ...
最新文章
- 某33岁国企程序员求助:目前税后60+,工作975,拿到蚂蚁p7offer,3.8k,6200期权,有必要去镀金吗?...
- vue怎么vw布局好用_vue 实现 rem 布局的 或者 vw 布局的方法
- 新零售赛道上,便利蜂的美食牌
- iOS8开发~UI布局(二)storyboard中autolayout和size class的使用详解
- storm 机器上日志查询_Storm原理与实践大数据技术栈14
- android unzip file,Unzip File in Android Assets
- 浅谈.net remoting 与webservice
- UTF-8 和 Unicode 的区别
- 关于jquery的取消阻止默认事件
- linux远程映射usb设备,Linux 系统下USB端口映射
- Diffusion扩散模型简述 + 代码demo
- 在Linux下安装GmSSL
- python录音pyaudio_使用PyAudio 进行录音、播放
- 线性代数之 实对称矩阵,正交对角化,二次型与正定矩阵
- 3194. 【HNOI模拟题】化学(无标号无根树计数)
- 如何在 Bios 中更改硬盘模式?
- 名帖330 王羲之 行草《平安帖》《何如帖》《奉橘帖》
- 163邮箱开启SMTP权限
- 数据分析师前景如何,需要学习什么技能?
- unity Device Simulator的使用
热门文章
- 2021高考无准考证成绩查询,2021考研没有准考证号怎么查成绩
- Linux双独立显卡SLI,玩点新奇的 双显卡给你不同的“SLI”效果
- 虚拟机linux中怎样打开qt,虚拟机中在Centos 4.7中安装qt-x11-opensource-4.4.3
- java 异常练习题_Java 异常(习题)
- istio springcloud_手牵手一起学Springcloud(1)微服务这么流行,你理解了嘛?
- python对象属性赋值_关于python对象 中dict属性赋值的疑问
- java 双等号(==) 与equals方法的介绍和区别
- java只修改变的字段_java注解之运行时修改字段的注解值操作
- Naive Bayes Classifier - 朴素贝叶斯分类器
- Java 修饰符详解:吐血整理,带你从底层语法和开发案例疏通这 11 种常见修饰符