欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

打開(kāi)APP
userphoto
未登錄

開(kāi)通VIP,暢享免費電子書(shū)等14項超值服

開(kāi)通VIP

首頁(yè)

好書(shū)

留言交流

下載APP

聯(lián)系客服
Linux中iptables設置詳細

無(wú)論如何,iptables是一個(gè)需要特別謹慎設置的東西,萬(wàn)一服務(wù)器不在你身邊,而你貿然設置導致無(wú)法SSH,那就等著(zhù)被老板罵吧,呵呵。。。

一下內容是為了防止這種情況發(fā)生而寫(xiě)的,當然很初級,不過(guò)一般服務(wù)器也夠用了:

1.首先介紹一下指令和相關(guān)配置文件

  1. 啟動(dòng)指令:service iptables start   
  2. 重啟指令:service iptables restart   
  3. 關(guān)閉指令:service iptables stop   
  4.   
  5. 然后是相關(guān)配置:/etc/sysconfig/iptables   
  6. 如何操作該配置呢?   
  7. vim /etc/sysconfig/iptables   
  8. 然后進(jìn)去修改即可,修改完了怎么辦?這里很多人會(huì )想到/etc/rc.d/init.d/iptables save指令,但是一旦你這么干了你剛才的修改內容就白做了。。。   
  9. 具體方法是:   
  10. 只修改/etc/sysconfig/iptables 使其生效的辦法是修改好后先service iptables restart,然后才調用/etc/rc.d/init.d/iptables save,   
  11. 因為/etc/rc.d/init.d/iptables save會(huì )在iptables服務(wù)啟動(dòng)時(shí)重新加載,要是在重啟之前直接先調用了/etc/rc.d/init.d/iptables save那么你   
  12. 的/etc/sysconfig/iptables 配置就回滾到上次啟動(dòng)服務(wù)的配置了,這點(diǎn)必須注意?。?!  

2.下面介紹一些指令用法(主要還是man iptables看下相關(guān)資料才行)

  1. -A:指定鏈名   
  2. -p:指定協(xié)議類(lèi)型   
  3. -d:指定目標地址   
  4. --dport:指定目標端口(destination port 目的端口)   
  5. --sport:指定源端口(source port 源端口)   
  6. -j:指定動(dòng)作類(lèi)型  

3.如果我不像修改文件直接打命令可以嗎,當然沒(méi)問(wèn)題,步驟如下:

  1. 例如我給SSH加放行的語(yǔ)句:   
  2. 添加input記錄: iptables -A INPUT -p tcp --dport 22 -j ACCEPT   
  3. 添加output記錄: iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT   
  4. 最后注意需要再執行一下 /etc/init.d/iptables save,這樣這兩條語(yǔ)句就保存到剛才那個(gè)/etc/sysconfig/iptables 文件中了。  

4.接下來(lái)說(shuō)明一下步驟,如果機器不在我身邊,我只能SSH進(jìn)去做iptables規則,那么我必須注意每一步,千萬(wàn)別搞錯了,否則就SSH鏈接不上都有可能!

  1. 首先要做的是給咱的SSH進(jìn)行ACCEPT配置,以免直接無(wú)法連接的情況發(fā)生:   
  2. 1.如果SSH端口是22(這里不建議用默認端口最好改掉SSH端口)   
  3. iptables -A INPUT -p tcp --dport 22 -j ACCEPT   
  4. iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT   
  5. 注意要/etc/rc.d/init.d/iptables save,以下每一步都最好執行一遍此語(yǔ)句,以下不再累述。   
  6.   
  7. 2.vim /etc/sysconfig/iptables確定是否已經(jīng)加入配置,可以的話(huà)執行service iptables restart重啟后生效   
  8.   
  9. 3.下面是很危險的操作,如果你第一步?jīng)]做就會(huì )直接可能導致你連不上SSH,此步驟前切記執行第一步?。?!   
  10. iptables -P INPUT DROP    
  11. iptables -P OUTPUT DROP    
  12. iptables -P FORWARD DROP   
  13. 這個(gè)步驟是把所有不符合自己配置的規則ACCEPT的連接全部DROP掉,執行完以后如果咱SSH還沒(méi)掉,那么謝天謝地,安全了,重啟下iptables后繼續下面的配置!   
  14.   
  15. 4.下面咱就不細說(shuō)了,具體就是看自己服務(wù)器要開(kāi)放哪些端口或者是要訪(fǎng)問(wèn)哪些端口來(lái)做具體的配置,下面是我自己的機器的配置:   
  16.   
  17. /etc/sysconfig/iptables文件配置如下:   
  18. # Generated by iptables-save v1.4.7 on Fri Mar  2 19:59:43 2012   
  19. *filter   
  20. :INPUT DROP [0:0]   
  21. :FORWARD DROP [0:0]   
  22. :OUTPUT DROP [8:496]   
  23. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   
  24. #ping使用的端口   
  25. -A INPUT -p icmp -j ACCEPT   
  26. -A INPUT -i lo -j ACCEPT   
  27. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT   
  28. -A INPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT   
  29. #允許服務(wù)器自己的SSH(對外部請求來(lái)說(shuō)服務(wù)器是目標所以使用--dport)   
  30. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT   
  31. #80端口不用說(shuō)了吧,服務(wù)器網(wǎng)站訪(fǎng)問(wèn)端口   
  32. -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT   
  33. -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT   
  34. -A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT   
  35. -A INPUT -p tcp -m tcp --dport 11212 -j ACCEPT   
  36. -A FORWARD -j REJECT --reject-with icmp-host-prohibited   
  37. #53端口是DNS相關(guān),TCP和UDP都要配置   
  38. -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT   
  39. -A INPUT -p udp -m udp --dport 53 -j ACCEPT   
  40. #ping使用的端口   
  41. -A OUTPUT -p icmp -j ACCEPT   
  42. -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT   
  43. -A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT   
  44. #允許服務(wù)器SSH到其他機器(使用外部端口就使用--dport)   
  45. -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT   
  46. #允許服務(wù)器自己的SSH(自已為源輸出就使用--sport)   
  47. -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT   
  48. #訪(fǎng)問(wèn)外部網(wǎng)站80端口(使用外部端口就使用--dport)   
  49. -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT   
  50. #如果服務(wù)器需要訪(fǎng)問(wèn)外部網(wǎng)站,那么OUTPUT也需要配置53端口(使用外部端口就使用--dport)   
  51. -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT   
  52. -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT   
  53. #如果有訪(fǎng)問(wèn)外部郵箱,那么打開(kāi)郵箱相關(guān)端口(使用外部端口就使用--dport)   
  54. -A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT   
  55. -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT   
  56. -A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT   
  57. #服務(wù)器網(wǎng)站訪(fǎng)問(wèn)端口(自已為源輸出就使用--sport)   
  58. -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT   
  59. -A OUTPUT -p tcp -m tcp --sport 3306 -j ACCEPT   
  60. -A OUTPUT -p tcp -m tcp --sport 11211 -j ACCEPT   
  61. -A OUTPUT -p tcp -m tcp --sport 11212 -j ACCEPT   
  62. COMMIT   
  63. # Completed on Fri Mar  2 19:59:43 2012  

5.可能有時(shí)候需要刪除規則,最簡(jiǎn)單就是修改一下/etc/sysconfig/iptables然后service iptables restart,最后/etc/rc.d/init.d/iptables save即可。

當然也可以使用指令完成:

  1. 在網(wǎng)上找了一下,刪除規則的方法:   
  2. 語(yǔ)法是: iptables -D chain rulenum [options]   
  3. 其中: chain 是鏈的意思,就是INPUT FORWARD 之類(lèi)的   
  4.              rulenum 是規則的編號。從1 開(kāi)始??梢允褂?nbsp; --line-numbers 列出規則的編號   
  5.     
  6. 所以,例如上面要刪除一個(gè)INPUT鏈的規則的話(huà)可以這樣:iptables -D INPUT 3   
  7. 意思是刪除第3條規則。   
  8. 還有第二種方法。第二種辦法是 -A 命令的映射,不過(guò)用-D替換-A。當你的鏈中規則很復雜,而你不想計算它們的編號的時(shí)候這就十分有用了。也就是說(shuō),你如何用iptables -A.... 語(yǔ)句定義了一個(gè)規則,則刪除此規則時(shí)就用 -D 來(lái)代替- A  其余的都不變即可。   
  9. ======================   
  10. 說(shuō)一下上面的 --line-numbers 選項,如下面的命令:   
  11. iptables -L INPUT --line-numbers   列出INPUT 鏈所有的規則   
  12. num  target     prot opt source               destination            
  13. 1    REJECT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds reject-with icmp-port-unreachable   
  14. 2    REJECT     tcp  --  anywhere             anywhere            tcp dpt:135 reject-with icmp-port-unreachable   
  15. 3    REJECT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn reject-with icmp-port-unreachable   
  16.   
  17. ...   
  18. ...   
  19. 刪除指定行規則:   
  20. [root@localhost rc.d]# iptables -D INPUT 4  

  6.最后補充一下,如果想針對某IP進(jìn)行單獨開(kāi)放端口可以如下配置:

  1. 如果我需要對內網(wǎng)某機器單獨開(kāi)放mysql端口,應該如下配置:   
  2. iptables -A INPUT -s 192.168.2.6 -p tcp -m tcp --dport 3306 -j ACCEPT   
  3. iptables -A OUTPUT -s 192.168.2.6 -p tcp -m tcp --sport 3306 -j ACCEPT  

7.徹底禁止某IP訪(fǎng)問(wèn):

  1. #屏蔽單個(gè)IP的命令是   
  2. iptables -I INPUT -s 123.45.6.7 -j DROP   
  3. #封整個(gè)段即從123.0.0.1到123.255.255.254的命令   
  4. iptables -I INPUT -s 123.0.0.0/8 -j DROP   
  5. #封IP段即從123.45.0.1到123.45.255.254的命令   
  6. iptables -I INPUT -s 124.45.0.0/16 -j DROP   
  7. #封IP段即從123.45.6.1到123.45.6.254的命令是   
  8. iptables -I INPUT -s 123.45.6.0/24 -j DROP   
  9. 指令I(lǐng)是insert指令 但是該指令會(huì )insert在正確位置并不像A指令看你自己的排序位置,因此用屏蔽因為必須在一開(kāi)始就要加載屏蔽IP,所以必須使用I命令加載,然后注意執行/etc/rc.d/init.d/iptables save進(jìn)行保存后重啟服務(wù)即可  
本站僅提供存儲服務(wù),所有內容均由用戶(hù)發(fā)布,如發(fā)現有害或侵權內容,請點(diǎn)擊舉報。
打開(kāi)APP,閱讀全文并永久保存 查看更多類(lèi)似文章
猜你喜歡
類(lèi)似文章
Linux 常用命令
Linux實(shí)踐工程師學(xué)習筆記十四:網(wǎng)絡(luò )安全 Linux高級應用 卓越資源 - 專(zhuān)業(yè)Linu...
Linux防火墻應用珠璣
Linux 防火墻開(kāi)放特定端口 (iptables)
25 個(gè)常用的 Linux iptables 規則
iptables里面的dport和sport
更多類(lèi)似文章 >>
生活服務(wù)
分享 收藏 導長(cháng)圖 關(guān)注 下載文章
綁定賬號成功
后續可登錄賬號暢享VIP特權!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久