Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3215167
  • 博文数量: 710
  • 博客积分: 14546
  • 博客等级: 上将
  • 技术积分: 6738
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-30 10:20
文章分类

全部博文(710)

文章存档

2016年(1)

2014年(7)

2013年(22)

2012年(227)

2011年(322)

2009年(119)

2008年(12)

分类: LINUX

2009-07-12 12:28:40

netfilter
包的处理方式
iptables -A INPUT -p icmp -j DROP丢弃/ACCEPT接受/REJECT弹回/LOG日记……
查看iptables -L -n
清空iptables -F
帮助iptables --help|less
架设一个www服务器,开启一个远程管理端口SSH
查找端口cat /etc/services |grep ssh
1,iptables -A INPUT -p tcp -d 192.168.1.4 --dport 22 -j ACCEPT
2,iptables -A OUTPUT -p tcp -s 192.168.1.4 --sport 22 -j ACCEPT
修改默认策略
3,iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP
4,iptables -A INPUT -p tcp -d 192.168.1.4 --dport 80 -j ACCEPT
5,iptables -A OUTPUT -p tcp -s 192.168.1.4 --sport 80 -j ACCEPT
保存配置成果
6,service iptables save或者iptalbe-save > /etc/sysconfig/iptables
任何联网主机都不能缺少DNS服务,都需要做DNS解析请求!
检查本机DNS配置/etc/resolv.conf
7,iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
8,iptables -A INPUT -p udp --sport 53 -j ACCEPT
自己是客户机+服务器时,允许对自己的53端口访问
9,iptables -A INPUT -p udp --dport 53 -j ACCEPT
10,iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
作为客户机或服务器是不同的!要好好分析。
很多默认端口都守护在本机上!netstat -tnl,打开本机回环设备
11,iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
12,iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
基本配置已经完成!
为了防止没有请求过的包发出去,我们要检测包的状态
13,iptables -I OUTPUT -p tcp -s 192.168.1.4 --sport 22 -m state --state ESTABLISHED -j ACCEPT
14,iptables -I OUTPUT 2 -p tcp -s 192.168.1.4 --sport 80 -m state --state ESTABLISHED -j ACCEPT
删除第5两条。
当自己是客户机的时候INPUT就需要检测包状态了!
-------------------
LOG目标配合日记服务器一起使用
1,iptables -I INPUT -p tcp --dport 22 -j LOG --log-level 5 --log-prefix "iptalbes:"
2,编辑/etc/syslog.conf
kern.=notice
重新启动日记服务器service syslog restart
3,查看消息的默认级别man syslog->/KERN_NOTICE
4,/etc/sysconfig/syslog 还原
5,防火墙日记分析及分析软件
-------------------
FORWARD
LAN->WAN
1,iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
WAN->LAN
2,iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
打开echo 1 >/proc/sys/net/ipv4/ip_forward 暂时打开内核转发功能
永远打开内核转发vi /etc/sysctl.conf编辑net.ipv4_forwawrd = 1
-----------------------
NAT
10.0.0.231  192.168.1.3  
iptables本机192.168.1.254,10.0.0.254
要在网关上做个地址转换NAT
iptables -t nat -L -n
原地址转换SNAT-POSTROUTING
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.1.254
伪装,局域网地址转换成外网地址。
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
目标地址转换DNAT-PREROUTING
保护主机192.168.1.3
iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.3
 
阅读(1380) | 评论(0) | 转发(0) |
0

上一篇:就应该像鲨鱼一样

下一篇:中国红糖

给主人留下些什么吧!~~