Linux防火墙白名单设置_第1页
Linux防火墙白名单设置_第2页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、在linux系统中安装yum install iptables-services然后vi /etc/sysconfig/iptables# Generated by iptables-save v1. 4.7 on Sun Aug 28 12:14:02 2016filter:INPUT ACCEPT 0:0:FORWARD ACCEPT 0:0:OUTPUT ACCEPT 0:0#ip(ip)-N whitelist-A whitelist -s -j ACCEPT-A whitelist -s x.x.x.x -j ACCEPT#这些 ACCEPT端号,公内都可访问-A INPUT -m

2、state -state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据RELATED,FTP设置的-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 13020 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 100

3、0:8000 -j ACCEPT #10008000之间的所有端#下是 whitelist 端号,仅限 服务器之间 通过内 访问-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 80 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 443 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -

4、dport 25 -j whitelist#ip开放的端,结束-A INPUT -j REJECT -reject-with icmp-host-prohibited-A FORWARD -j REJECT -reject-with icmp-host-prohibited COMMIT解释:添加防墙过滤规则步骤如下;1、查看现有防墙过滤规则:iptables -nvL -line-number2、添加防墙过滤规则(设置名单):)添加名单iptables -I INPUT 3 -s 63 -p tcp -dport 1521 -j ACCEPT命令详解:-I:添加规则的参数INPUT:表外部主

5、机访问内部资源规则链: 1)INPUT进来的数据包应此规则链中的策略 2)OUTPUT外出的数据包应此规则链中的策略 3)FORWARD转发数据包时应此规则链中的策略 4)PREROUTING对数据包作路由选择前应此链中的规则(记住!所有的数据包进来的时侯都先由这个链处理)POSTROUTING对数据包作路由选择后应此链中的规则(所有的数据包出来的时侯都先由这个链处理)3:表添加到第三(可以任意修改)-s:指定作为源地址匹配,这不能指定主机名称,必须是IP;: 于匹配协议的(这的协议通常有种,TCP/UDP/ICMP)-dport: 于匹配端号: 于匹配处理式:常的ACTION: DROP:悄

6、悄丢弃,般我们多DROP来隐藏我们的份,以及隐藏我们的链表REJECT:明拒绝ACCEPT:接受)查看添加结果iptables -nvL -line-number然后重启防墙即可效重启防墙的命令:service iptables restart此时,防墙规则只是保存在内存中,重启后就会失效。使以下命令将防墙配置保存起来;保存到配置中:service iptables save (该命令会将防墙规则保存在/etc/sysconfig/iptables件中。)-附:开放端段30003008iptables -A INPUT -p tcp -dport 3000:3008 -j ACCEPT开放ip

7、段iprange模块提供了两个匹配参数::匹配来源地址的范围,例如,iptables -A INPUT -p tcp:匹配的地址的范围,例如,iptables -A OUTPUT -p tcp-j DROP-src-range-dst-range-m iprange -src-range -1-j DROP-m iprange -dst-range -1禁户访问iptables -I FORWARD -d -j DROPiptables命令(-A、-I、-L等、1、常命令列表: (-A-D-R-I-L)()(INPUT)中,该规则将会成为规则链中的最后条规则。说明 从某个规则链中删除条规则,可以输完整规则,或直接指定规则编号加以删除。-I,-insert范例 iptables -I INPUT1-dport 80 -j ACCEPT(1)上的规则将会往后移动个顺位。说明 将封包计数器归零。封包计数器是来计算同封包出现次数,是过滤阻断式攻击不可或缺的具。-E,-rename-chain范例 iptables -E allowed disallowed说明 修改某订规则链的名称。View Code释义,可参考:规则的删除等:下是可能于防慢连接攻击的式#,100个iptables -A FORWARD -f -m limit

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论