[RHEL5企业级Linux服务攻略]--第8季 Iptables服务全攻略之实战配置
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-05-18
链中的规则,如果没有指定链则清空指定表中所有链的规则
iptables -X:清除预设表filter中使用者自定链中的规则
iptables -Z:清除预设表filter中使用者自定链中的规则
(2)设置默认策略
设置默认策略为关闭filter表的INPPUT及FORWARD链开启OUTPUT链,nat表的三个链PREROUTING、OUTPUT、POSTROUTING全部开启哈~默认全部链都是开启的, 有些命令可以不操作,另外mangle表本文没用到,不做处理,mangle主要用在数据包的特殊变更处理上,比如修改TOS等特性.
2、设置回环地址
有些服务的测试需要使用回环地址,为了保证各个服务的正常工作,需要允许回环地址的通信,RHCE课程-RH253Linux服务器架设笔记二-NFS服务器配置己有涉及,如果不设置回环地址,有些服务不能启动哈~.
iptables -A INPUT -i lo -j ACCEPT
3、连接状态设置
为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
连接跟踪存在四种数据包状态
NEW:想要新建连接的数据包
INVALID:无效的数据包,例如损坏或者不完整的数据包
ESTABLISHED:已经建立连接的数据包
RELATED:与已经发送的数据包有关的数据包
4、设置80端口转发
公司网站需要对外开放,我们需要开放80端口
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
5、DNS相关设置
为了客户端能够正常使用域名访问互联网,我们还需要允许内网计算机与外部DNS服务器的数据转发.
开启DNS使用UDP、TCP的53端口
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
6、允许访问服务器的SSH
管理员会通过外网进行远程管理,我们要开启SSH使用的TCP协议22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
7、允许内网主机登录MSN和QQ相关设置
QQ能够使用TCP80、8000、443及UDP8000、4000登录,而MSN通过TCP1863、443验证.因此只需要允许这些端口的FORWARD转发即可以正常登录.
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 4000 -j ACCEPT
注意:当然,如果公司要限制这样即时通信工具的使用,只要禁止这些端口的转发就可以了哈~特别注意,马化腾这家伙忒坏~嘿嘿~,端口不固定,QQVIP会员专用通道什么的,代理登录等等哈~,我们如果需要封杀就要收集全登录端口及QQ服务器地址,根据本人总结,最好在企业实际配置中技术与行政管理相结合,这样达到的效果最好~0(^_^)0
8、允许内网主机收发邮件
客户端发送邮件时访问邮件服务器的TCP25端口.接收邮件时访问,可能使用的端口则较多,UDP协议以及TCP协议的端口:110、143、993及995
smtp: [root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 25 -j ACCEPT pop3: [root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 110 -j ACCEPT [root@rhel5 ~]# iptables -A FORWARD -p udp --dport 110 -j ACCEPT imap: [root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 143 -j ACCEPT [root@rhel5 ~]# iptables -A FORWARD -p udp --dport 143 -j ACCEPT imaps: [root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 993 -j ACCEPT [root@rhel5 ~]# iptables -A FORWARD -p udp --dport 993 -j ACCEPT pop3s: [root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 995 -j ACCEPT [root@rhel5 ~]# iptables -A FORWARD -p udp --dport 995 -j ACCEPT 9、NAT端口映射设置  局域网的地址为私网 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: Linux简单的DNS服务器配置下一篇: 我看《Linux内核完全注释2.01》的方法
关于[RHEL5企业级Linux服务攻略]--第8季 Iptables服务全攻略之实战配置的所有评论
