iptables-syxian-ChinaUnix博客

Todayxfchengg.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

syxian

博客访问： 3121022
博文数量： 710
博客积分： 14546
博客等级：上将
技术积分： 6738
用户组：普通用户
注册时间： 2007-03-30 10:20

文章分类

全部博文（710）

BigData（4）

BIDW（1）

hadoop（3）
think（11）
Cloud（36）

docker（0）

Azure（4）

AWS China（0）

OpenStack（0）

Tools（0）

Citrix NetScaler（0）

Citrix XenApp（1）

mgmt（3）

KVM&XEN（2）

VMware（1）

Citrix XenServer（20）

Hyper-v（0）
database（10）
architecture（1）
Mysql（54）

Mysql HA（2）

mysql AB（5）

mysql manager（2）

mysql extend（10）

mysql monitoring（3）

mysql tuning（12）

mysql bacup（3）

mysql（17）
planning（6）
windows（2）
PM（2）
filesystem（6）

fs（2）

distributed fs（3）

share filesystem（0）
cache server（1）

Varnish（0）

ncache（0）

squid（1）
web server（12）

tomcat（1）

Fast-CGI（0）

lighttpd（0）

nginx（0）

apache（6）
scripts（11）

python（1）

bash（10）

perl（0）
Middleware（5）

weblogic（1）

tomcat（3）
book（11）
hardware（17）

windows（1）

dell（8）
tools（3）

JZZ（0）
storage（34）

distributed（0）

iscsi（19）
oracle（158）

oracle_scripts（7）

oracle_err（33）

oracle_sql（1）

oracle_dg（5）

oracle_rac（20）

oracle_base（18）

oracle_monitor（6）

oracle man（2）

Oracle security（1）

oracle tuning（11）

oracle backup（8）

oracle study（4）

oracle（40）
manager（7）
english（5）
network（9）

net analyse（1）
linux（139）

security（0）

error（5）

测试工具（3）

ssd优化（5）

HA（1）

LVS（9）

LVM（1）

log（6）

server（19）

prepare（1）

configuration（4）

monitor（7）

tuning（18）

network（10）

command（12）

samba（1）

install（4）

shell（0）

iptables（3）

storage cluster（5）
未分配的博文（166）

文章存档

2016年（1）

2014年（7）

2013年（22）

2012年（227）

2011年（322）

2009年（119）

2008年（12）

我的朋友

相关博文

iptables

分类： LINUX

2009-07-12 12:28:40

netfilter

包的处理方式
iptables -A INPUT -p icmp -j DROP丢弃/ACCEPT接受/REJECT弹回/LOG日记……
查看iptables -L -n
清空iptables -F
帮助iptables --help|less

架设一个www服务器,开启一个远程管理端口SSH
查找端口cat /etc/services |grep ssh
1,iptables -A INPUT -p tcp -d 192.168.1.4 --dport 22 -j ACCEPT
2,iptables -A OUTPUT -p tcp -s 192.168.1.4 --sport 22 -j ACCEPT
修改默认策略
3,iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
4,iptables -A INPUT -p tcp -d 192.168.1.4 --dport 80 -j ACCEPT
5,iptables -A OUTPUT -p tcp -s 192.168.1.4 --sport 80 -j ACCEPT
保存配置成果
6,service iptables save或者iptalbe-save > /etc/sysconfig/iptables
任何联网主机都不能缺少DNS服务，都需要做DNS解析请求！
检查本机DNS配置/etc/resolv.conf
7,iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
8,iptables -A INPUT -p udp --sport 53 -j ACCEPT
自己是客户机+服务器时,允许对自己的53端口访问
9,iptables -A INPUT -p udp --dport 53 -j ACCEPT
10,iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
作为客户机或服务器是不同的！要好好分析。
很多默认端口都守护在本机上！netstat -tnl,打开本机回环设备
11,iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
12,iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
基本配置已经完成！
为了防止没有请求过的包发出去，我们要检测包的状态
13,iptables -I OUTPUT -p tcp -s 192.168.1.4 --sport 22 -m state --state ESTABLISHED -j ACCEPT
14,iptables -I OUTPUT 2 -p tcp -s 192.168.1.4 --sport 80 -m state --state ESTABLISHED -j ACCEPT
删除第5两条。
当自己是客户机的时候INPUT就需要检测包状态了！
-------------------
LOG目标配合日记服务器一起使用
1,iptables -I INPUT -p tcp --dport 22 -j LOG --log-level 5 --log-prefix "iptalbes:"
2,编辑/etc/syslog.conf
kern.=notice
重新启动日记服务器service syslog restart
3,查看消息的默认级别man syslog->/KERN_NOTICE
4,/etc/sysconfig/syslog 还原
5,防火墙日记分析及分析软件
-------------------
FORWARD
LAN->WAN
1,iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
WAN->LAN
2,iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
打开echo 1 >/proc/sys/net/ipv4/ip_forward 暂时打开内核转发功能
永远打开内核转发vi /etc/sysctl.conf编辑net.ipv4_forwawrd = 1
-----------------------

NAT
10.0.0.231 192.168.1.3
iptables本机192.168.1.254，10.0.0.254
要在网关上做个地址转换NAT
iptables -t nat -L -n
原地址转换SNAT-POSTROUTING
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.1.254
伪装，局域网地址转换成外网地址。
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
目标地址转换DNAT-PREROUTING
保护主机192.168.1.3
iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.3

阅读(1335) | 评论(0) | 转发(0) |

上一篇：就应该像鲨鱼一样

下一篇：中国红糖

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6