日期:2011-08-02 11:45:00 来源:本站整理
iptables具体配置实例[Linux安全]
本文“iptables具体配置实例[Linux安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
我们来配置一个filter表的防火墙.
(1)查看本机关于IPTABLES的设置情形
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,挑选了有防火墙,并且开放了22,80,25端口.
假如你在安装linux时没有挑选启动防火墙,是这样的
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么法则都没有.
(2)排除原有法则.
不管你在安装linux时能否启动了防火墙,假如你想配置属于自己的防火墙,那就排除目前filter的全部法则.
[root@tp ~]# iptables -F 排除预设表filter中的全部法则链的法则
[root@tp ~]# iptables -X 排除预设表filter中利用者自定链中的法则
我们在来看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提早说一句,这些配置就像用号令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样便可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
目前IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设法则
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
上面的意思是,当超越了IPTABLES里filter表里的两个链法则(INPUT,FORWARD)时,不在这两个法则里的数据包怎么处理呢,那就是DROP(放弃).应当说这样配置是很安全的.我们要掌握流入数据包
而关于OUTPUT链,也就是流出的包我们不用做太多限制,而是采纳ACCEPT,也就是说,不在着个法则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采取的是答应什么包通过,而OUTPUT链采取的是不答应什么包通过.
这样设置还是挺公道的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,并且要写的法则就会增添.但假如你只想要有限的几个法则是,如只做WEB服务器.还是举荐三个链都是DROP.
注:假如你是远程SSH登陆的话,当你输入第一个号令回车的时刻就应当掉了.因为你没有设置任何法则.
怎么办,去本机操作呗!
(4)增添法则.
首先增添INPUT链,INPUT链的默许法则是DROP,所以我们就写需求ACCETP(通过)的链
为了能采取远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个法则,假如你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部法则招致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,假如开启了web服务器,OUTPUT设置成DROP的话,一样也要增添一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
假如做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
假如做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
假如做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
假如做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
假如你还做了其他的服务器,需求开启哪个端口,照写就行了.
上面主要写的都是INPUT链,但凡不在上面的法则里的,都DROP
答应icmp包通过,也就是答应ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
答应loopback!(不然会招致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (假如是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(假如是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默许法则是ACCEPT,所以我们就写需求DROP(放弃)的链.
削减不安全的端口衔接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务.既然合理服务都不利用这些非尺度端口来通信,阻塞这些端口可以有效地削减你的网络上大概被传染的机械和它们的远程主服务器举行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有爱好的朋友应当去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你增添的法则就多一些,就像上边增添
答应SSH登陆一样.照着写就行了.
下面写一下越发具体的法则,就是限制到某台机械
如:我们只答应192.168.0.3的机械举行SSH衔接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
假如要答应,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的全部IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示全部地址都可以登陆.
或采取号令方法:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采取号令的方法,只在当时见效,假如想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的法则衔接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默许法则是DROP,所以我们就写需求ACCETP(通过)的链,对正在转发链的监控.
开启转发功效,(在做NAT时,FORWARD默许法则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数目,避免攻击,答应每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,答应每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit -
以上是“iptables具体配置实例[Linux安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论