快速业务通道

iptables配置方法简单介绍

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-05
oot@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT 如果你把OUTPUT设置成DROP的话,就要写上下面这句 [root@localhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 很多人就是忘了写这一句规则,导致始终无法SSH.其他的端口也一样要加上这句,比如做web服务器,OUTPUT设置成DROP的话,同样也要添加一条链: [root@localhost ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT 如果有做EMAIL服务的话,开启25、110端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT 如果有做FTP服务的话,开启21、20端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT 如果要想让主机正常上网,需要开启DNS回显,端口是53 [root@localhost ~]# iptables -A INPUT -p udp --sport 53 -j ACCEPT 如果有做DNS服务器的话,开启53端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT 允许icmp包通过,也就是允许ping [root@localhost ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话) [root@localhost ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话) 允许loopback!(不然会导致DNS无法正常关闭等问题) [root@localhost ~]# iptables -A INPUT -i lo -p all -j ACCEPT (INPUT设置成DROP的话) [root@localhost ~]# iptables -A OUTPUT -o lo -p all -j ACCEPT (OUTPUT设置成DROP的话) 如果你还开了其他服务的话,需要开启哪个端口,照着写就行了.上面写的都是INPUT链,凡是不在上面这些规则里的,都DROP(不允许通过). b.其次写OUTPUT链,OUTPUT链默认规则是ACCEPT,只需要写DROP(放弃)的链 减少不安全的端口连接 [root@localhost ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP [root@localhost ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP 有些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务.既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会. 还有其他端口也一样,像31335、27444、27665、20034 NetBus、9704、137-139(smb)、2049(NFS)端口也应该被禁止,我在这写的也不全,有兴趣的朋友可以去查一下相关资料. 出于更安全的考虑你也可以把OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加 允许SSH登陆一样,照着写就行了. 下面来写一下更加细致的规则,就是允许或限制到某台机器 只允许IP为192.168.0.3的机器SSH连接 [root@localhost ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT 如果要允许或限制一段IP地址可以用192.168.0.0/24,表示192.168.0.1-255的所有IP,24表示子网掩码数,但一定要记得把/etc/sysconfig/iptables里的这一行删了 -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 它表示所有地址都可以登陆. 或采用命令的方式删除 [root@localhost ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT 除了某个IP的话,就需要在IP前加一个!,比如!192.168.0.3就表示除了IP是192.168.0.3的机器,其他的规则连接也一样这么设置. c.接下来写FORWARD链,FORWARD链的默认规则是DROP,我们就写ACCEPT(允许通过)的链 开启转发功能,(在做NAT时,FO

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号