Linux的iptables常用配置范例(2)

iptables -F   #清除所有规则
iptables -X  #清除所有自定义规则
iptables -Z   #各项计数归零
iptables -P INPUT DROP  #将input链默认规则设置为丢弃
iptables -P OUTPUT DROP  #将output链默认规则设置为丢弃
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT #对运行在本机回环地址上的所有服务放行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT  #把这条语句插在input链的最前面(第一条),并且对状态为ESTABLISHED,RELATED的连接放行。
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT  #允许本机访问其他80服务
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT #允许本机发送域名请求
iptables -A OUTPUT -p icmp -j ACCEPT  #对本机出去的所有icmp协议放行,其实如果仅仅只是允许本机ping别的机器,更为严谨的做法是将此语句修改为:
iptables -A OUTPUT -p icmp  –icmp-type  echo-request -j ACCEPT

对状态为ESTABLISHED和RELATED的包放行,简单的说,就是说对允许出去的包被对方主机收到后,对方主机回应进来的封包放行。这条语 句很重 要,可以省去写很多iptables语句,尤其是在有ftp服务器的场合。你理解了这个意思,就应该知道,有了这条语句,第6条语句其实是可以省略的。

封网站:
iptables -F
iptables -X
iptables -Z
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.10 -d www.qq.com -j DROP(禁止网站)
iptables -A FORWARD -p tcp -s 192.168.1.11/24 -d www.qq.com -o eth0 -j DROP(禁止网段)
iptables -A FORWARD -p tcp -s 192.168.1.12 -d 192.168.1.13  -o eth0 -j DROP(禁止IP)
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT (这条写在禁止网站的下面)

#安全规则类似windows防火墙
iptables -A INPUT -p tcp –dport 1:1024 -j DROP
iptables -A INPUT -p udp –dport 1:1024 -j DROP   这两条可以防止nmap探测
iptables -A INPUT -p tcp –dport ** -j ACCEPT  (要开放的端口)
#允许的端口,相对协议改一下就可以了,                         (端口过虑)
============================================

iptables架设安全的vsftp服务器

在实际工作中,可用以下脚本架设一台很的内部FTP;当然也可以配合Wireshark理解 vsftpd的被动与主动的区别,以本机192.168.0.10为例,脚本如下:

#!/bin/bash
-F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
#开启ip转发功能
echo “1” > /proc/sys/net/ipv4/ip_forward
#加载ftp需要的一些模块功能
modprobe ip_conntrack_ftp
modprobe ip_conntrack-tftp
modprobe ip_nat_ftp
modprobe ip_nat_tftp
#为了更安全,将OUTPUT默认策略定义为DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
#开放本机的lo环回口,建议开放,不开放的会出现些莫名其妙的问题
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#下面的脚本是架设安全的vsftpd关健,后二句脚本是放行服务器向客户端作回应的和已建立连接的数据包,因被动FTP比较复杂,六次握手,所以这里采用状态来做
iptables -A INPUT -s 192.168.0.0/24 -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp –sport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

=====================================
内网web服务器 适用于中小型公司有内网服务器发布的IPT
=====================================

防止攻击扫描
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT
–limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
# Null Scan(possibly)XiKc.om
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP

#ubuntu保存与开机加载
iptables-save > iptables.up.rules
cp iptables.up.rules /etc/
vi /etc/network/interfaces

iptables-save > iptables.up.rules cp iptables.up.rules /etc/ vi /etc/network/interfaces

#在interfaces末尾加入
pre-up iptables-restore < /etc/iptables.up.rules
pre-up iptables-restore < /etc/iptables.up.rules

#也可以设置网卡断开的rules。
post-down iptables-restore < /etc/iptables.down.rules
post-down iptables-restore < /etc/iptables.down.rules

#保存
service iptables save
强制所有的客户机访问192.168.1.100这个网站
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.100 (PREROUTING和DNAT一起使用,POSTROUTING和SNAT一起使用)
发布内网的web服务器192.168.1.10
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 192.168.1.10
端口映射到内网的3389
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 192.168.1.10:3389


来源:http://www.ha97.com/3929.html

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/542619.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

aptitude 命令_C-命令行参数Aptitude问题与解答

aptitude 命令C programming Command Line Arguments Aptitude Questions and Answers: In this section you will find C Aptitude Questions and Answers on Command Line Arguments – Passing values with running programs, separate argument values, number of argument…

文件上传java逻辑_Java 文件上传 实例

import java.io.*;import java.util.*;import javax.servlet.*;import javax.servlet.http.*;public class Upload {private String saveDir "."; // 要保存文件的路径private String contentType ""; // 文档类型private String charset "";…

matlab数值计算pdf_Gnuplot科学绘图(九)——栅格以及方程数值解估算

Gnuplot科学绘图系列内容Gnuplot科学绘图(一)——从安装到简单函数绘图(文末有彩蛋)Gnuplot科学绘图(二)——坐标取值范围及刻度(文末有彩蛋)Gnuplot科学绘图(三)——点线风格Gnuplot科学绘图(四)——多组数据绘图Gnuplot科学绘图(五)——输出eps 图片Gnuplot科学绘图(六)——输…

dda算法_计算机图形学中的DDA(数字差分分析仪)算法

dda算法DDA(数字差分分析仪)算法 (DDA (Digital Differential Analyzer) Algorithm) In computer graphics, the DDA algorithm is the simplest algorithm among all other line generation algorithms. Here, the DDA is an abbreviation that stands for "Digital Diff…

购物商城框架java_基于jsp的购物商城-JavaEE实现购物商城 - java项目源码

基于jspservletpojomysql实现一个javaee/javaweb的购物商城, 该项目可用各类java课程设计大作业中, 购物商城的系统架构分为前后台两部分, 最终实现在线上进行购物商城各项功能,实现了诸如用户管理, 登录注册, 权限管理等功能, 并实现对各类购物商城相关的实体进行管理。该购物…

c语言++数组名【数字】_C ++程序在数组中打印所有非重复数字

c语言数组名【数字】Problem statement: Write a C program to print all the non-repeated numbers in an array in minimum time complexity. 问题陈述&#xff1a;编写一个C 程序&#xff0c; 以最小的时间复杂度将所有未重复的数字打印在数组中 。 Input Example: 输入示例…

java最接近对点及距离_最接近点对问题_分治法

一、问题描述给定平面上的n个点&#xff0c;找其中的一对点&#xff0c;使得在n个点组成的所有点对中该点对间的距离最小。二、解题思路及所选算法策略的可行性分析思路&#xff1a;利用分治法来解决问题。递归子结构求最接近点对总体可分为几个步骤&#xff1a;1、当问题规模小…

python return用法_初学Python要了解什么 装饰器知识汇总有哪些

初学Python要了解什么&#xff1f;装饰器知识汇总有哪些&#xff1f;在Python学习过程中&#xff0c;有多种方法对函数和类进行加工&#xff0c;相对于其它方式&#xff0c;装饰器语法简单&#xff0c;代码可读性高。因此&#xff0c;装饰器在Python项目中有广泛的应用&#xf…

android emulator虚拟设备分析第三篇之pipe上的qemud service

一、概述 本篇和第二篇是强相关的&#xff0c;需要结合第二篇一起看。 以boot-properties为例&#xff0c;注意不需要看ANDROID-QEMUD.TXT&#xff0c;这个是和guest os中的qemud进行相关的&#xff0c;已废弃。 启动emulator时&#xff0c;有一个参数-prop <key><val…

c#异常处理_C#异常处理能力问题和解答 套装4

c#异常处理1) Which is not a valid keyword used in the context of exception handling? trycatchfinalfinally Answer & Explanation Correct answer: 3final The final keyword is not used to handle exceptions in C#.NET. 1)在异常处理的上下文中使用哪个无效关键字…

Castor xsd生成java_java – Castor可以处理从基础XSD导入的多个XSD生成类吗?

注意&#xff1a;我是EclipseLink JAXB (MOXy)领导者,也是JAXB 2 (JSR-222)专家组的成员.Can Castor do this? If so, what would be the Ant task syntax for it.If not, would perhaps JAXB be a better alternative?下面是如何使用JAXB完成此操作的示例&#xff1a;产品xm…

串口通信 校验码_一文读懂S7-200 SMART自由口通信!

学习S7-200 SMART时了解到&#xff0c;基于RS485接口可实现一下几种通信&#xff1a;1&#xff09;modbus RTU通信2&#xff09;PPI协议通信3&#xff09;USS协议通信4&#xff09;自由口通信何为自由口通信呢&#xff1f;前三种通信必须要PLC和与其通信的设备支持相同的通信协…

hbase 学习(十三)集群间备份原理

集群建备份&#xff0c;它是master/slaves结构式的备份&#xff0c;由master推送&#xff0c;这样更容易跟踪现在备份到哪里了&#xff0c;况且region server是都有自己的WAL 和HLog日志&#xff0c;它就像mysql的主从备份结构一样&#xff0c;只有一个日志来跟踪。一个master集…

python expect模块_Python基础教程:用Python怎么telnet到网络设备

Python基础教程&#xff1a;用Python怎么telnet到网络设备0.前言Telnet协议属于TCP/IP协议族里的一种&#xff0c;对于我们这些网络攻城狮来说&#xff0c;再熟悉不过了&#xff0c;常用于远程登陆到网络设备进行操作&#xff0c;但是&#xff0c;它的缺陷太明显了&#xff0c;…

Java实现动态加载页面_[Java教程]动态加载页面数据的小工具 javascript + jQuery (持续更新)...

[Java教程]动态加载页面数据的小工具 javascript jQuery (持续更新)0 2014-05-07 18:00:06使用该控件&#xff0c;可以根据url&#xff0c;参数&#xff0c;加载html记录模板(包含json参数对应&#xff0c;以及具体记录位置Index根据参数描述加载对应的属性&#xff0c;并可以…

马哥linux第六周作业

1、复制/etc/rc.d/rc.sysinit文件至/tmp目录&#xff0c;将/tmp/rc.sysinit文件中的以至少一个空白字符开头的行的行首加#&#xff1b;[rootmageedu tmp]# cp /etc/rc.d/rc.sysinit . [rootmageedu tmp]# vim rc.sysinit :% s/^[[:space:]]/#&/ #按Esc进入vi…

Java ObjectInputStream enableResolveObject()方法与示例

ObjectInputStream类enableResolveObject()方法 (ObjectInputStream Class enableResolveObject() method) enableResolveObject() method is available in java.io package. enableResolveObject()方法在java.io包中可用。 enableResolveObject() method is used to enable th…

pygame render怎么显示中文_PyGame开发游戏(2D)02.基础图元

这节将介绍PyGame的基础架构。并学习如何在PyGame里绘制各种几何图形和显示加载图片。01.应用框架上一节的示例程序里&#xff0c;我们用到一个PyGame的应用程序框架。这是一个基础框架&#xff0c;利用它我们可以很轻松的添加各类图型绘制&#xff0c;键盘鼠标输入处理和各类逻…

word+增加水印+java_为Word2019文档添加水印的两种方法

水印的类型包括文字水印和图片水印两种。在Word文档中添加文字水印时&#xff0c;可以使用程序中预设的水印效果&#xff0c;而图片水印则需要自定义添加。一、使用程序预设的文字水印Word 2019中预设了机密、紧急、免责声明三种类型的文字水印&#xff0c;用户可根据文件的类型…

如何设置CentOS 7获取动态及静态IP地址

自动获取动态IP地址1.输入“ip addr”并按回车键确定&#xff0c;发现无法获取IP(CentOS 7默认没有ifconfig命令)&#xff0c;记录下网卡名称&#xff08;本例中为ens33&#xff09;。2.输入“cd /etc/sysconfig/network-scripts/”按回车键确定&#xff0c;继续输入“ls”按回…