Linux防火牆(iptables)設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 檢視 是否設定好, 好看到全部 DROP 了
這樣的設定好了,我們只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態
還要使用 service iptables save 進行儲存
看到資訊 firewall rules 防火牆的規則 其實就是儲存在 /etc/sysconfig/iptables
可以開啟檔案檢視 vi /etc/sysconfig/iptables
2、
下面我只開啟22埠,看我是如何操作的,就是下面2個語句
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再檢視下 iptables -L -n 是否新增上去, 看到添加了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
現在Linux伺服器只打開了22埠,用putty.exe測試一下是否可以連結上去。
可以連結上去了,說明沒有問題。
最後別忘記了儲存 對防火牆的設定
通過命令:service iptables save 進行儲存
重啟iptables
service iptables save && service iptables restart
關閉防火牆
chkconfig iptables off && service iptables stop
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
針對這2條命令進行一些講解吧
-A 引數就看成是新增一條 INPUT 的規則
-p 指定是什麼協議 我們常用的tcp 協議,當然也有udp 例如53埠的DNS
到時我們要配置DNS用到53埠 大家就會發現使用udp協議的
而 --dport 就是目標埠 當資料從外部進入伺服器為目標埠
反之 資料從伺服器出去 則為資料來源埠 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
3、禁止某個IP訪問
1臺Linux伺服器,2臺windows xp 作業系統進行訪問
Linux伺服器ip 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8
下面看看我2臺xp 都可以訪問的
192.168.1.2 這是 xp1 可以訪問的,
192.168.1.8 xp2 也是可以正常訪問的。
那麼現在我要禁止 192.168.1.2 xp1 訪問, xp2 正常訪問,
下面看看演示
通過命令 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
這裡意思就是 -A 就是新增新的規則, 怎樣的規則呢? 由於我們訪問網站使用tcp的,
我們就用 -p tcp , 如果是 udp 就寫udp,這裡就用tcp了, -s就是 來源的意思,
ip來源於 192.168.1.2 ,-j 怎麼做 我們拒絕它 這裡應該是 DROP
好,看看效果。好新增成功。下面進行驗證 一下是否生效
一直出現等待狀態 最後 該頁無法顯示 ,這是 192.168.1.2 xp1 的訪問被拒絕了。
再看看另外一臺 xp 是否可以訪問, 是可以正常訪問的 192.168.1.8 是可以正常訪問的
4、如何刪除規則
首先我們要知道 這條規則的編號,每條規則都有一個編號
通過 iptables -L -n --line-number 可以顯示規則和相對應的編號
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 這一列, 這樣我們就可以 看到剛才的規則對應的是 編號2
那麼我們就可以進行刪除了
iptables -D INPUT 2
刪除INPUT鏈編號為2的規則。
再 iptables -L -n 檢視一下 已經被清除了。
5、過濾無效的資料包
假設有人進入了伺服器,或者有病毒木馬程式,它可以通過22,80埠像伺服器外傳送資料。
它的這種方式就和我們正常訪問22,80埠區別。它發向外發的資料不是我們通過訪問網頁請求
而回應的資料包。
下面我們要禁止這些沒有通過請求迴應的資料包,統統把它們堵住掉。
iptables 提供了一個引數 是檢查狀態的,下面我們來配置下 22 和 80 埠,防止無效的資料包。
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
可以看到和我們以前使用的:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一個狀態判斷。
同樣80埠也一樣, 現在刪掉原來的2條規則,
iptables -L -n --line-number 這個是檢視規則而且帶上編號。我們看到編號就可以
刪除對應的規則了。
iptables -D OUTPUT 1 這裡的1表示第一條規則。
當你刪除了前面的規則, 編號也會隨之改變。看到了吧。
好,我們刪除了前面2個規則,22埠還可以正常使用,說明沒問題了
下面進行儲存,別忘記了,不然的話重啟就會還原到原來的樣子。
service iptables save 進行儲存。
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
其實就是把剛才設定的規則寫入到 /etc/sysconfig/iptables 檔案中。
6、DNS埠53設定
下面我們來看看如何設定iptables來開啟DNS埠,DNS埠對應的是53
大家看到我現在的情況了吧,只開放22和80埠, 我現在看看能不能解析域名。
host www.google.com 輸入這個命令後,一直等待,說明DNS不通
出現下面提示 :
;; connection timed out; no servers could be reached
ping 一下域名也是不通
[[email protected] ~ping www.google.com
ping: unknown host www.google.com
我這裡的原因就是 iptables 限制了53埠。
有些伺服器,特別是Web伺服器減慢,DNS其實也有關係的,無法傳送包到DNS伺服器導致的。
下面演示下如何使用 iptables 來設定DNS 53這個埠,如果你不知道 域名服務埠號,你
可以用命令 : grep domain /etc/services
[[email protected] ~grep domain /etc/services
domain 53/tcp # name-domain server
domain 53/udp
domaintime 9909/tcp # domaintime
domaintime 9909/udp # domaintime
看到了吧, 我們一般使用 udp 協議。
好了, 開始設定。。。
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
這是我們 ping 一個域名,資料就是從本機出去,所以我們先設定 OUTPUT,
我們按照ping這個流程來設定。
然後 DNS 伺服器收到我們發出去的包,就回應一個回來
iptables -A INPUT -p udp --sport 53 -j ACCEPT
同時還要設定
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
好了, 下面開始測試下, 可以用 iptables -L -n 檢視設定情況,確定沒有問題就可以測試了
[[email protected] ~iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
可以測試一下 是否 DNS 可以通過iptables 了。
[[email protected] ~host www.google.com
www.google.com is an alias for www.l.google.com.
www.l.google.com is an alias for www-china.l.google.com.
www-china.l.google.com has address 64.233.189.104
www-china.l.google.com has address 64.233.189.147
www-china.l.google.com has address 64.233.189.99
正常可以解析 google 域名。
ping 方面可能還要設定些東西。
用 nslookup 看看吧
[[email protected] ~nslookup
> www.google.com
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
www.google.com canonical name = www.l.google.com.
www.l.google.com canonical name = www-china.l.google.com.
Name: www-china.l.google.com
Address: 64.233.189.147
Name: www-china.l.google.com
Address: 64.233.189.99
Name: www-china.l.google.com
Address: 64.233.189.104
說明本機DNS正常, iptables 允許53這個埠的訪問。
7、iptables對ftp的設定
現在我開始對ftp埠的設定,按照我們以前的視訊,新增需要開放的埠
ftp連線埠有2個 21 和 20 埠,我現在新增對應的規則。
[[email protected] rootiptables -A INPUT -p tcp --dport 21 -j ACCEPT
[[email protected] rootiptables -A INPUT -p tcp --dport 20 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
好,這樣就新增完了,我們用瀏覽器訪問一下ftp,出現超時。
所以我剛才說 ftp 是比較特殊的埠,它還有一些埠是 資料傳輸埠,
例如目錄列表, 上傳 ,下載 檔案都要用到這些埠。
而這些埠是 任意 埠。。。 這個 任意 真的比較特殊。
如果不指定什麼一個埠範圍, iptables 很難對任意埠開放的,
如果iptables允許任意埠訪問, 那和不設定防火牆沒什麼區別,所以不現實的。
那麼我們的解決辦法就是 指定這個資料傳輸埠的一個範圍。
下面我們修改一下ftp配置檔案。
我這裡使用vsftpd來修改演示,其他ftp我不知道哪裡修改,大家可以找找資料。
[[email protected] rootvi /etc/vsftpd.conf
在配置檔案的最下面 加入
pasv_min_port=30001
pasv_max_port=31000
然後儲存退出。
這兩句話的意思告訴vsftpd, 要傳輸資料的埠範圍就在30001到31000 這個範圍內傳送。
這樣我們使用 iptables 就好辦多了,我們就開啟 30001到31000 這些埠。
[[email protected] rootiptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[[email protected] rootservice iptables save
最後進行儲存, 然後我們再用瀏覽器範圍下 ftp。可以正常訪問
用個賬號登陸上去,也沒有問題,上傳一些檔案上去看看。
看到了吧,上傳和下載都正常。。 再檢視下 iptables 的設定
[[email protected] rootiptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:30001:31000
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:30001:31000
這是我為了演示ftp特殊埠做的簡單規則,大家可以新增一些對資料包的驗證
例如 -m state --state ESTABLISHED,RELATED 等等要求更加高的驗證
相關推薦
Linux防火牆(iptables)設定
下面是命令實現:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 檢視 是否設定好, 好看到全部 DROP 了這樣的設定好了,我們只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態
CentOS6下防火牆(iptables)的配置方法詳解
CentOS6系統是基於linux中的,它的防火牆其實就是iptables了。 下面我來介紹在CentOS防火牆iptables的配置教程,希望此教程對各位朋友會有所幫助。 iptables是與Linux核心整合的IP資訊包過濾系統,其自帶防火牆功能,我們在配置完伺服器的角色功能後,需要修改iptable
linux系統中的防火牆(iptables與firewalld)——iptables
iptables 關閉firewalld開啟iptables 相關概念 IPTABLES 是與最新的 3.5 版本 Linux 核心整合的 IP 資訊包過濾系統。如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器, 則該系統有利於在 Lin
linux系統中的防火牆(iptables與firewalld)——firewalld
防火牆 防火牆是整個資料包進入主機前的第一道關卡。防火牆主要通過Netfilter與TCPwrappers兩個機制來管理的。 1)Netfilter:資料包過濾機制 2)TCP Wrappers:程式管理機制 關於資料包過濾機制有兩個軟體:firewalld與iptables cento
Linux 防火牆開放特定埠 (iptables)
儲存對防火牆的設定 serivce iptables save 檢視iptables規則及編號 iptables -nL --line-number 關閉所有的INPUT FORWARD(轉發) OUTPUT的所有埠 iptables -P INPUT DROP iptables -P FORWARD
Linux裡的防火牆(下):iptables的擴充套件模組——l7-filter的安裝與功能實現
如果在公司裡做網路管理員,老闆可能會讓你遮蔽掉qq和xunlei,那麼如果通過iptables來實現這些功能? 首先,要知道qq和xunlei都是特定的服務,它們在傳送資料的時候,必然會由一些特徵值在資料中,那麼我們的iptables如果想要攔截這些資料,就需要知道它們的
Linux防火牆之iptables常用擴充套件匹配條件(一)
上一篇博文講了iptables的基本匹配條件和隱式匹配條件,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12269717.html;今天在來說說iptabels的一些常用的顯示擴充套件匹配條件,所謂顯示擴充套件匹配條件?顯示擴充套件匹配條件就是我們需要用到一些擴充
Linux防火牆之iptables常用擴充套件匹配條件(二)
上一篇博文我們講到了iptables的一些常用的擴充套件匹配模組以及擴充套件模組的一些選項的說明,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12273755.html;今天再來說說剩下的幾個比較長用的擴充套件模組。 1、limit,此模組主要是基於收發報文段
Linux 防火墻開放特定端口 (iptables)
從服務器 ble acc 轉發 特定 數據源 ice 文件 drop iptables是linux下的防火墻,同時也是服務名稱。 service iptables status 查看防火墻狀態service iptables start
Linux(centos 7)系列之(四)----設定系統自動連線網路
今天開機的時候發現虛擬機器沒有自動連線網路,因此需要對系統自動連線網路進行設定,下面是設定的步驟。 用root使用者登入系統,輸入命令:vim /etc/sysconfig/network-scripts/ifcfg-ens33,最後的是檔名
JDK環境搭建 & Web執行環境配置 & Java專案部署釋出(附:解決Linux防火牆限制問題)
學習目標 - Linux/Unix 作業系統上JDK環境的配置 - Linux/Unix 作業系統上web執行環境的配置 - Linux/Unix 作業系統上Java專案的部署釋出 學習步
Linux防火牆(Ubuntu16.04防火牆)
防火牆(ufw) 說明:簡單版本的防火牆,底層依賴於iptables。 安裝:sudo apt-get install ufw 檢視狀態:sudo ufw status 開啟/關閉:sudo ufw enable|disable 預設允許/禁止:sudo
Linux學習(4):ubuntu新增新使用者並設定root許可權
一,新增使用者 ubuntu建使用者最好用adduser,雖然adduser和useradd是一樣的在別的linux糸統下,但是我在ubuntu下用useradd時,並沒有建立同名的使用者主目錄。
linux下shell命令別名(alias)設定
在 /etc/profile (系統檔案)或 /home/.bashrc (使用者檔案)裡使用 alias 定義命令別名。例如: alias ll="ls -l" ll 就是命令別名,實際並不存在這個命令。 使用別名,不為別的,只為方便和高效。為一個經常要用的帶很多引數
Linux虛擬機器(VMware)設定固定IP
一般使用VMware開啟Linux虛擬機器常見的網路型別有Bridge(橋接模式),NAT,Host-only(僅主機)3種。 NAT:自動分配IP地址,只有宿主機(即虛擬機器所在電腦)能訪問虛擬機器,可以通過宿主機訪問網路,優勢是不會與其他物理主機IP衝突
Linux下的socket程式設計實踐(五)設定套接字I/O超時的方案
(一)使用alarm 函式設定超時 #include <unistd.h> unsigned int
linux 筆記(3)sudo
style roo 執行 詳細 現在 tail 筆記 內容 如果 剛安裝Ubuntu,出現在終端的首行: To run a command as administrator (user "root"), use "sudo <command>". See “m
Linux基礎(一)
顯示文件 單用戶 重要 命令 普通 art 免費使用 出現 文件夾 一、了解Unix和Linux 1.Unix和Linux的起源 出現分時操作系統的概念後,貝爾實驗室和通用電氣在CTTS成功研制後決定開發能夠同時支持上百終端的MULTICS,但是失敗了。後來一位參加過M
linux基礎(2)
是把 uid bash chm 備註 font 註意 nbsp gshadow Linux基礎題 作業一:1) 新建用戶natasha,uid為1000,gid為555,備註信息為“master”useradd natashagroupmod -g 555 nata
Linux基礎(四)
har jid work 區號 linu watch worker eof -1 一、系統監控 1.用top命令實時監測CPU、內存、硬盤狀態 效果類似Windows的任務管理器,默認每5秒刷新一下屏幕上的顯示結果。 [[email protected]/*