Linux iptables:场景实战一

Linux iptables:规则原理和基础》和《Linux iptables:规则组成》介绍了iptables的基础及iptables规则的组成,本篇通过实际操作进行iptables应用场景的实际演示。

防火墙设置策略


防火墙的设置策略一般分为两种,一种叫“通”策略,一种叫“堵”策略:

通策略,默认所有数据包是不允许通过的,对于允许的数据包定义规则。

堵策略则是,默认所有数据包是全部允许通过的,对于要拒绝的数据包定义规则。

一般来说服务器的防火墙设置都是采用第一种策略,安全性更高,本篇介绍的场景实战也是采用“通”策略。

场景实战定义


假定本篇要实现以下场景定义的规则:

1、对所有的地址开放本机的80、22、10-21端口访问;

2、对所有的地址开放ICMP协议的数据包访问;

3、其他未被允许的端口禁止访问。

iptables规则实现


实现以上定义的命令操作:

先清空所有默认规则
iptables -F
开放端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
开放ICMP
iptables -I INPUT -p icmp -j ACCEPT
禁止其他端口
iptables -A INPUT -j REJECT
查看规则
iptables -L -n

操作结果:

iptables规则定义要点


在以上的操作过程中有几个点需要注意:

1、一定要允许22端口访问,否则在输入iptables -A INPUT -j REJECT时,SSH会立即断开,无法再进行远程操作;

2、iptables -A INPUT -j REJECT一定要使用 A 命令追加到规则末尾,不能使用 I 命令插入,使拒绝操作在最后生效;

3、允许连续范围端口可以使用 起始:结束端口 来指定。


记录,为更好的自己!

时间: 2024-11-05 06:25:40

Linux iptables:场景实战一的相关文章

Linux搭建DNS实战一

DNS配置使用 Linux搭建DNS实战一 本地解析 svr5  为服务端-CentOS6 pc205为客户端-CentOS6 软件包bind.bind-chroot 安装软件包 -----------------[[email protected] ~]# yum -y install bind bind-chroot[[email protected] ~]# mv /etc/named.conf  /etc/named.conf.bak      //备份默认配置 因为配置文件里很多功能用

SpringBoot整合RabbitMQ之典型应用场景实战一

实战前言RabbitMQ 作为目前应用相当广泛的消息中间件,在企业级应用.微服务应用中充当着重要的角色.特别是在一些典型的应用场景以及业务模块中具有重要的作用,比如业务服务模块解耦.异步通信.高并发限流.超时业务.数据延迟处理等. RabbitMQ 官网拜读首先,让我们先拜读 RabbitMQ 官网的技术开发手册以及相关的 Features,感兴趣的朋友可以耐心的阅读其中的相关介绍,相信会有一定的收获,地址可见:http://www.rabbitmq.com/getstarted.html 在阅

linux iptables 实例1

柘扑图: shell脚本: 说明:内网可以正常上网,只能通过端口访问DMZ里的服务器 firewall服务器和DMZ里的器不能上网,但是可以指定访问外网某个IP 外网可以通过访问DNAT映射访问内网web和FTP服务器 指定某个IP进行管理iptables,不允许外网进行管理 服务器不能主动上外网 [[email protected] ~]# cat /opt/firewall.sh #!/bin/bash /sbin/modprobe nf_conntrack_ftp /sbin/modpro

【转】Delphi+Halcon实战一:两行代码识别QR二维码

Delphi+Halcon实战一:两行代码识别QR二维码 感谢网友:绝代双椒( QQ:51536348)的支持 本文是绝代双椒的作品,因为最近在忙zw量化培训,和ziwang.com网站的升级,halcon没时间操作. 不过,随着国内产业升级,机器人行业的发展,Delphi+Halcon的未来,是无可限量的. 其他网友,有halcon这方面作品的,有需要,也可以交给zw转发. 另外,zw正在争取培训机构合作,开办Delphi+Halcon方面的培训的项目,有兴趣的机构可以联系QQ:3578117

Linux iptables:规则组成

<Linux iptables:规则原理和基础>介绍了iptables的四表五链,简单说就是不同的网络层数据包会经过哪几个挂载点,在每个挂载点可以在哪张表进行规则定义. 本篇沿着这个思路,更具体的介绍一条iptables规则的组成. Linux iptables:规则组成 这是iptables一条规则的基本组成,也是iptables定义规则的命令格式: 第一列是iptables命令: 第二列指定规则所在的表,常用的是nat和filter表: 第三列是命令,常用命令如下: -A 在指定链的末尾添

linux iptables dnat

linux iptables 公网.网关做DNAT 192.168.18.230 <-------> 192.168.18.130  192.168.11.130 <-------> 192.168.11.131 iptables -t nat -A PREROUTING -p tcp -d 192.168.18.130 --dport 2222 -j DNAT --to 192.168.11.131:22 iptables -t nat -A POSTROUTING -s 192

单服务器防护linux iptables脚本

#!/bin/bashiptables -Fiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD DROP/sbin/iptables -A INPUT -i eth1 -m multiport -p tcp --dport 5060,6060,5070,1720,3720,1719,2719,3719,1202,80 -j ACCEPT/sbin/iptables -A INPUT -i eth1 -m multi

Kail Linux渗透测试实训手册第3章信息收集

Kail Linux渗透测试实训手册第3章信息收集 信息收集是网络攻击最重要的阶段之一.要想进行渗透攻击,就需要收集目标的各类信息.收集到的信息越多,攻击成功的概率也就越大.本章将介绍信息收集的相关工具.本文选自<Kail Linux渗透测试实训手册> 3.1  Recon-NG框架 Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架.Recon-ng框架是一个强大的工具,使用它可以自动的收集信息和网络侦查.下面将介绍使用Recon-NG侦查工具. 启动Recon-NG

linux iptables添加mysql访问

用一个shell脚本添加一个IP的mysql 3306端口到防火墙白名单 #!/bin/bash chkconfig --level 235 iptables on iptables -F iptables -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -p tcp --dport 3306 -j ACCEPT linux iptables添加mysql访问