仓酷云
标题:
CentOS教程之CentOS体系iptables防火墙设置
[打印本页]
作者:
海妖
时间:
2015-1-14 20:41
标题:
CentOS教程之CentOS体系iptables防火墙设置
欢迎大家来到仓酷云论坛!
1、防火墙简介
1
、功效:
1
)经由过程源端口,源
IP
地点,源
MAC
地点,包中特定标志和方针端口,
IP
,
MAC
来断定数据包是不是能够经由过程防火墙
2
)支解内网和外网【附带的路由器的功效】
3
)分别要被回护的办事器
假如
Linux
办事器启用了防火墙,
SELinux
等的防护办法,那末,他的宁静级别能够到达
B2[
本来是
C2]
2
、防火墙分类
1
)数据包过滤【尽年夜多半的防火墙】
剖析
IP
地点,端口和
MAC
是不是切合划定规矩,假如切合,承受
2
)代办署理办事器
3
、防火墙的限定
1
)防火墙不克不及无效避免病毒,以是防火墙对病毒打击基础有效,可是对木马仍是有必定的限定感化的。
2
)防火墙一样平常不设定对外部
[
办事器本机
]
会见划定规矩,以是对外部打击有效
【附】现现今的杀毒软件对病毒的辨认率约莫在
30%
摆布。也就是说,年夜局部的病毒是杀毒软件其实不熟悉的!
4
、防火墙设置准绳【交织利用】
回绝一切,逐一同意
同意一切,逐一回绝
【附:】防火墙划定规矩:谁先设置,谁先请求!
5
、
Linux
罕见防火墙
2.4/2.6
内核
iptables#
如今经常使用的
2.2
内核
ipchains
二
、iptables
防火墙
1
、布局:表
-------
链
--------
划定规矩
登录/注册后可看大图
Center
(404.17 KB, 下载次数: 15)
下载附件
保存到相册
CentOS教程之CentOS体系iptables防火墙设置
2015-1-14 20:41 上传
2、表:在iptables中默许有以下三个表
filter
表
数据过滤表
#filter
过滤,浸透
NAT
表
内网与外网地点转换
Mangle
特别数据包标志
3
、链
filter
表中:
INPUTOUTPUTFORWARD
3、
iptables
基本语法
1
、划定规矩的检察和分明
iptables[-t
表名
][
选项
]
选项:
-L
检察
-F
扫除一切划定规矩
-X
扫除自界说链
-Z
扫除一切链统计
-n
以端口和
ip
显现
示例:
iptables-tnat-L#
检察
nat
表中划定规矩
iptables-L#
检察
filter
表中划定规矩,不写表名默许检察的是
filter
表!
2
、界说默许战略
iptables-t
表名
-P
链名
ACCEPT|DROP#-P
(年夜)界说默许战略
实例:
iptables-tfilter-PINPUTDROP
注重:不要把本人踢出办事器,以是这条划定规矩应当最初设定。
3
、限制
IP
和网卡接口设置
iptables[-AI
链
][-io
网卡接口
][-p
协定
][-s
源
IP][-d
方针
ip]-j
举措
申明:
-A
追加链划定规矩
#
在链划定规矩最初到场此划定规矩
-IINPUT2#
把此划定规矩拔出到
INPUT
链,酿成第二条划定规矩
-D
链条数
#
删除指定链的指定条数防火墙
示例:
iptables-DINPUT2#
删除
input
链上的第二条划定规矩
-ieth0#
指定进进接口,要在
INPUT
链上界说
-oeth0#
指定传出接口,要在
OUTPUT
链上界说
-p
协定
#[tcp/udp/icmp/all]
-j
举措
#[ACCEPT|DROP]
实例:
iptables-AINPUT-ilo-jACCEPT
同意本机回环网***信,在
INPUT
链
iptables-AINPUT-ieth0-s192.168.140.254-jACCEPT
同意
254
进进
eth0
iptables-AINPUT-ieth0-s192.168.140.0/24-jDROP
回绝
140
网段会见
4
、设定端口会见
iptables-AINPUT-ieth0-pall-s
源
ip--sport
源端口
-d
方针
IP--dport
方针端口
-j
举措
#
一样平常必要指定的是方针端口,并且必定要设置协定范例!
实例:
iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport22-jDROP
iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport137:139-jACCEPT#
同意会见
137
到
139
端口
注重:指定端口时,协定不克不及用
all
,
要指定切实协定,如
TCP
5
、模块挪用
-m
模块名模块选项
加载
iptables
功效模块
1
)
-mstate--stateESTABLISHED,RELATED
iptables-AINPUT-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT
#state
形态模块
罕见形态
ESTABLISHED
【联机乐成的形态】
RELATED
【前往包形态】
2
)
-mmac--mac-source
依照
mac
地点限定会见
iptables-AINPUT-mmac--mac-sourceaa:bb:cc:dd:ee:ff-jDROP
#
回绝某
mac
会见
3
)
-mstring--string"
想要婚配的数据包中字串
"
iptables-AFORWARD-pudp--dport53-mstring--string"tencent"--algokmp-jDROP
#
经由过程
dns
回绝
QQ
登录
#--algo
指定字符串形式婚配战略,撑持
KMP
和
BM
两种字符串搜刮算法,恣意指定一个便可
6
、浅易防火墙实例
iptables-F
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport22-jACCEPT
#iptables-AINPUT-ptcp--dport22-s<IP
地点
>-jACCEPT
iptables-AINPUT-ptcp--dport873-jACCEPT
iptables-AINPUT-ptcp--dport139-jACCEPT
iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-PINPUTDROP
7
、防火墙办事开机自启动
chkconfigiptableson
8
、防火墙划定规矩开启自启动
1
)
serviceiptablessave
会把划定规矩保留到
/etc/sysconfig/iptables
文件中,
重启会主动读取
2
)
a.
手工写防火墙剧本
如
vi/root/iptables.rule
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AINPUT-ptcp--dport873-jACCEPT
iptables-AINPUT-ptcp--dport139-jACCEPT
iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-PINPUTDROP
b.
付与实行权限
chmod755/root/iptables.rule
c.
开机运转
vi/etc/rc.local
d.
写进
/root/iptables.rule
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
作者:
变相怪杰
时间:
2015-1-16 21:18
标题:
CentOS教程之CentOS体系iptables防火墙设置
随着IT从业人员越来越多,理论上会有更多的人使用Linux,可以肯定,Linux在以后这多时间不会消失。
作者:
第二个灵魂
时间:
2015-1-21 19:48
Linux的成功就在于用最少的资源最短的时间实现了所有功能,这也是符合人类进化的,相信以后节能问题会日益突出。
作者:
若相依
时间:
2015-1-30 22:17
其次,Linux简单易学,因为我们初学者只是学的基础部分,Linux的结构体系非常清晰,再加上老师循序渐进的教学以及耐心的讲解,使我们理解起来很快,短期内就基本掌握了操作和运行模式。
作者:
小魔女
时间:
2015-2-6 16:31
任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。
作者:
灵魂腐蚀
时间:
2015-2-17 09:13
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
作者:
柔情似水
时间:
2015-3-5 19:03
熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。
作者:
因胸联盟
时间:
2015-3-12 12:07
永中office 2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同,打印机的配置和管理,记录光盘等。
作者:
乐观
时间:
2015-3-19 23:36
为了更好的学习这门课程,我不仅课上认真听讲,课下也努力学习,为此还在自己的电脑上安装了Ubuntu系统。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2