国产欧美日韩第一页|日本一二三不卡视频|在线精品小视频,亚洲第一免费播放区,metcn人体亚洲一区,亚洲精品午夜视频

linux防火墻添加端口過(guò)濾

2015-07-03 14:43:51 10305

一.iptables的安裝:yum -y install iptables

iptables開(kāi)機(jī)自啟動(dòng):chkconfig iptables on

iptables啟動(dòng):/etc/init.d/iptables start

iptables關(guān)閉:/etc/init.d/iptables stop

iptables的狀況查看:chkconfgi --list | grep iptables

iptables的配置文件:/etc/sysconfig/iptables

二.防火墻基礎(chǔ):

1.防火墻策略一般分為兩種,一種叫“通”策略,一種叫“堵”策略,通策略,默認(rèn)門(mén)是關(guān)著的,必須要定義誰(shuí)能進(jìn)。堵策略則是,大門(mén)是洞開(kāi)的,但是你必須有身份認(rèn)證,否則不能進(jìn)。所以我們要定義,讓進(jìn)來(lái)的進(jìn)來(lái),讓出去的出去,所以通,是要全通,而堵,則是要選擇。

2.iptables就根據(jù)規(guī)則所定義的方法來(lái)處理這些數(shù)據(jù)包,如放行(accept)、拒絕(reject)和丟棄(drop)等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。

3.表(tables)提供特定的功能,iptables內(nèi)置了4個(gè)表,即filter表、nat表、mangle表和raw表,每個(gè)表的功能如下:

1.)filter:定義允許或者不允許的

2.)nat :定義地址轉(zhuǎn)換的 

3.)mangle:修改報(bào)文原數(shù)據(jù)

4.)raw:數(shù)據(jù)跟蹤處理上

我們修改報(bào)文原數(shù)據(jù)就是來(lái)修改TTL的。能夠?qū)崿F(xiàn)將數(shù)據(jù)包的元數(shù)據(jù)拆開(kāi),在里面做標(biāo)記/修改內(nèi)容的。而防火墻標(biāo)記,其實(shí)就是靠mangle來(lái)實(shí)現(xiàn)的。

4.鏈(chains)是數(shù)據(jù)包傳播的路徑,每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單,每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí),iptables就會(huì)從鏈中第一條規(guī)則開(kāi)始檢查,看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足,系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;否則iptables將繼續(xù)檢查下一條規(guī)則,如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則,iptables就會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略來(lái)處理數(shù)據(jù)包。

5.小擴(kuò)展:

對(duì)于filter表來(lái)講一般只能做在3個(gè)鏈(chain)上:INPUT ,F(xiàn)ORWARD ,OUTPUT

對(duì)于nat表來(lái)講一般也只能做在3個(gè)鏈(chain)上:PREROUTING ,OUTPUT ,POSTROUTING

對(duì)于mangle表則是5個(gè)鏈(chain)都可以做:PREROUTING,INPUT,F(xiàn)ORWARD,OUTPUT,POSTROUTING

6.當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入時(shí):

① 當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入網(wǎng)卡時(shí),它首先進(jìn)入PREROUTING鏈,內(nèi)核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉(zhuǎn)送出去。

② 如果數(shù)據(jù)包就是進(jìn)入本機(jī)的,它就會(huì)沿著向下移動(dòng),到達(dá)INPUT鏈。數(shù)據(jù)包到了INPUT鏈后,任何進(jìn)程都會(huì)收到它。本機(jī)上運(yùn)行的程序可以發(fā)送數(shù)據(jù)包,這些數(shù)據(jù)包會(huì)經(jīng)過(guò)OUTPUT鏈,然后到達(dá)POSTROUTING鏈輸出。

③ 如果數(shù)據(jù)包是要轉(zhuǎn)發(fā)出去的,且內(nèi)核允許轉(zhuǎn)發(fā),數(shù)據(jù)包就會(huì)如圖所示向右移動(dòng),經(jīng)過(guò)FORWARD鏈,然后到達(dá)POSTROUTING鏈輸出。

三.iptables命令格式

iptables的命令格式較為復(fù)雜,一般的格式如下:

iptables [-t table] 命令 [chain] [rules] [-j target]

table——指定表明

命令——對(duì)鏈的操作命令

chain——鏈名

rules——規(guī)則

target——?jiǎng)幼魅绾芜M(jìn)行

1.表選項(xiàng)

表選項(xiàng)用于指定命令應(yīng)用于哪個(gè)iptables內(nèi)置表,iptables內(nèi)置包括filter表、nat表、mangle表和raw表。

2.命令選項(xiàng)iptables命令格式(command)

命令                  說(shuō)明

-P或–policy <鏈名>   定義默認(rèn)策略

-L或–list <鏈名>      查看iptables規(guī)則列表

-A或—append <鏈名>  在規(guī)則列表的最后增加1條規(guī)則

-I或–insert <鏈名>    在指定的位置插入1條規(guī)則

-D或–delete <鏈名>   從規(guī)則列表中刪除1條規(guī)則

-R或–replace <鏈名>  替換規(guī)則列表中的某條規(guī)則

-F或–flush <鏈名>    刪除表中所有規(guī)則

-Z或–zero <鏈名>    將表中數(shù)據(jù)包計(jì)數(shù)器和流量計(jì)數(shù)器歸零

3.匹配選項(xiàng)(paraameters參數(shù)選項(xiàng))

匹配                               說(shuō)明

-i或–in-interface <網(wǎng)絡(luò)接口名>      指定數(shù)據(jù)包從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入,如ppp0、eth0和eth1等

-o或–out-interface <網(wǎng)絡(luò)接口名>    指定數(shù)據(jù)包從哪塊網(wǎng)絡(luò)接口輸出,如ppp0、eth0和eth1等

-p或—proto協(xié)議類型 < 協(xié)議類型>   指定數(shù)據(jù)包匹配的協(xié)議,如TCP、UDP和ICMP等

-s或–source <源地址或子網(wǎng)>        指定數(shù)據(jù)包匹配的源地址

–sport <源端口號(hào)>                 指定數(shù)據(jù)包匹配的源端口號(hào),可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口

-d或–destination <目標(biāo)地址或子網(wǎng)>  指定數(shù)據(jù)包匹配的目標(biāo)地址

–dport目標(biāo)端口號(hào) 指定數(shù)據(jù)包匹配的目標(biāo)端口號(hào),可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口

4.動(dòng)作選項(xiàng)

動(dòng)作 說(shuō)明

ACCEPT 接受數(shù)據(jù)包

DROP 丟棄數(shù)據(jù)包

REDIRECT 與DROP基本一樣,區(qū)別在于它除了阻塞包之外, 還向發(fā)送者返回錯(cuò)誤信息。

SNAT 源地址轉(zhuǎn)換,即改變數(shù)據(jù)包的源地址

DNAT 目標(biāo)地址轉(zhuǎn)換,即改變數(shù)據(jù)包的目的地址

MASQUERADE IP偽裝,即是常說(shuō)的NAT技術(shù),MASQUERADE只能用于ADSL等撥號(hào)上網(wǎng)的IP偽裝,也就是主機(jī)的IP是由ISP分配動(dòng)態(tài)的;如果主機(jī)的IP地址是靜態(tài)固定的,就要使用SNAT

LOG 日志功能,將符合規(guī)則的數(shù)據(jù)包的相關(guān)信息記錄在日志中,以便管理員的分析和排錯(cuò)

Iptables命令格式

Iptables過(guò)濾條件

四.iptables的語(yǔ)法

iptables定義規(guī)則的方式比較復(fù)雜:

格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table :3個(gè)filter nat mangle

COMMAND:定義如何對(duì)規(guī)則進(jìn)行管理

chain:指定你接下來(lái)的規(guī)則到底是在哪個(gè)鏈上操作的,當(dāng)定義策略的時(shí)候,是可以省略的     

CRETIRIA:指定匹配標(biāo)準(zhǔn)

-j ACTION :指定如何進(jìn)行處理   

五.實(shí)戰(zhàn)演練——指定對(duì)端口的開(kāi)放

1. Iptables查看現(xiàn)在都有那些規(guī)則,或者直接訪問(wèn):vi /etc/sysconfig/iptables

通過(guò)上圖,我們發(fā)現(xiàn)linux主機(jī)對(duì)所有的鏈INPUT/FORWARD/OUTPUT是允許訪問(wèn)的。

2.關(guān)閉所有的INPUT/FORWARD/OUTPUT只對(duì)某些端口開(kāi)放.

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

3.關(guān)閉之后發(fā)現(xiàn)我的SecureCRT不能登陸到字符界面了,那么現(xiàn)在來(lái)開(kāi)通22端口。

Iptables -A INPUT -p TCP --dport 22 -j ACCEPT

Iptables -A OUTPUT -p TCP --Sport 22 -j ACCEPT

4打開(kāi)80端口,否則其他人無(wú)法訪問(wèn)網(wǎng)站

Iptables -A INPUT -p TCP --dport 80 -j ACCEPT

Iptables -A OUTPUT -p TCP --Sport 80 -j ACCEPT

5.我想ping 一下藍(lán)隊(duì)網(wǎng)絡(luò)的域名發(fā)現(xiàn)不同,這是因?yàn)镈NS對(duì)應(yīng)的端口是53以及使用的協(xié)議是UDP的。

iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT     開(kāi)放出源端口53

iptables -A INPUT -p UDP --dport 53 -j ACCEPT       開(kāi)放進(jìn)目標(biāo)端口53 

iptables -A INPUT -p UDP --sport 53 -j ACCEPT 

      

6.設(shè)置好后記得保存一下。

service iptables save

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好!

這條文檔是否有幫助解決問(wèn)題?

非常抱歉未能幫助到您。為了給您提供更好的服務(wù),我們很需要您進(jìn)一步的反饋信息:

在文檔使用中是否遇到以下問(wèn)題: