Linux系统的服务器要怎么样来设置相关安全配置
| WARD 链中。这三个链是基本信息包过滤表中内置的缺省主链。另外,还有其它许多可用的链的类型(如 PREROUTING 和 POSTROUTING),以及提供用户定义的链。每个链都可以有一个策略,它定义“缺省目标”,也就是要执行的缺省操作,当信息包与链中的任何规则都不匹配时,执行此操作。
建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了。这时内核空间从用户空间接管工作。当信息包到达防火墙时,内核先检查信息包的头信息,尤其是信息包的目的地。我们将这个过程称为路由。 如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将它传递到内核空间信息包过滤表的 INPUT 链。如果信息包源自系统内部或系统所连接的内部网上的其它源,并且此信息包要前往另一个外部系统,那么信息包被传递到 OUTPUT 链。类似的,源自外部系统并前往外部系统的信息包被传递到 FORWARD 链。 7.1.2 iptables实例1: #!/bin/sh # 禁止系统的转发包功能 echo 0 > /proc/sys/net/ipv4/ip_forward # 清楚iptables原有规则,并设置iptables默认规则 iptables -t nat -F POSTROUTING iptables -t nat -F PREROUTING iptables -t nat -F OUTPUT iptables -F iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # 在input规则中需要打开的tcp、upd端口 iptables -A INPUT -j ACCEPT -p tcp --dport 80 iptables -A INPUT -j ACCEPT -p tcp --dport 22 iptables -A INPUT -j ACCEPT -p tcp --dport 25 iptables -A INPUT -j ACCEPT -p tcp --dport 1352 iptables -A INPUT -p udp --destination-port 53 -j ACCEPT # 在input规则中状态为:STATE RELATED 的包都接受 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 启用系统ip转发功能 echo 1 > /proc/sys/net/ipv4/ip_forward < --end-- > 7.1.3 iptables实例2: 注:这个实例中,只需要设置tcp、udp端口和服务器网络段ip范围即可,其他已经默认设置好。 #!/bin/sh # make:yongzhang # time:2004-06-18 # e-mail: yongzhang@wiscom.com.cn PATH=/sbin:/bin:/usr/sbin:/usr/bin ##tcp allow ports TPORTS="80 22" ##udp allow ports |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
