RHEL5.7下iptables防火墙配置(上)
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-25
| cho-reply、echo-request等. 上述选项中,port可以是单个端口号,也可以是以port1:port2表示的端口范围.每一选项后的参数可以加"!",表示取反.  ,iptables命令中的-j选项可以对满足规则的数据包执行指定的操作,其后的[-j 目标]可以是以下内容: -j ACCEPT:将与规则匹配的数据包放行,并且该数据包将不再与其他规则匹配,而是跳向下一条链继续处理. -j REJECT:拒绝所匹配的数据包,并向该数据包的发送者回复一个ICMP错误通知.该处理动作完成后,数据包将不再与其他规则匹配,  也不跳向下一条链. -j DROP:丢弃所匹配的数据包,不回复错误通知.该处理动作完成后,数据包将不再与其他规则匹配, 也不跳向下一条链. -j LOG:将与规则匹配的数据包的相关信息记录在日志(/var/log/message)中,并继续与其他规则匹配. 举例: 在配置iptables之前,  查询iptabels软件包有没有安装(默认已安装) rpm -q iptables iptables服务启动脚本/etc/rc.d/init.d/iptables 配置文件位置 /etc/sysconfig/iptables-config 策略文件位置 /etc/sysconfig/iptables (默认文件不存在) iptables命令即时生效,但是不保存的话重启后就会消失,保存命令: iptables-save > /etc/sysconfig/iptables 将命令保存在iptables策略文件中,重启后可立即应用.也可以使用以下命令进行保存: service iptables save 将iptables-save命令保存的防火墙策略恢复到当前系统中 iptables-restore 开启iptables防火墙 service iptables start 基于单个服务器的iptables防火墙配置 基于单个服务器防火墙的配置主要包括回环口的处理、状态检测以及协议和端口的处理. 例如一个普通的web服务器的典型防护配置: iptables -A INPUT -i lo -j ACCEPT \\允许访问服务器的lo回环口 iptables -A INPUT -p tcp -m multiport --port 22,80 -j ACCEPT \\开放服务器的22和80端口 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT \\状态检测,允许建立连接和相关连接 iptables -P INPUT DROP \\不匹配以上条件的数据包全部丢弃 这里涉及到iptables防火墙的一些 [扩展规则],iptables软件包提供了一套扩展的规则选项.使用时需要通过-m选项指定模块的名称,再使用该模块提供的选项.下面列出几个模块名称和其中的选项,大部分的选项也可以通过"!"取反. -m multiport --sports <port, port, …> 功能:指定数据包的多个源端口,也可以以port1:port2的形式指定一个端口范围. -m multiport --dports <port, port, …> 功能:指定数据包的多个目的端口,也可以以port1:port2的形式指定一个端口范围. -m multiport --ports <port, port, …> 功能:指定数据包的多个端口,包括源端口和目的端口,也可以以port1:port2的形式指定一个端口范围. -m state --state <state> 功能:指定满足某一种状态的数据包,state可以是INVALID、ESTABLISHED、NEW和RELATED等,也可以是它们的组合,用","分隔. -m connlimit --connlimit-above <n> 功能:用于限制客户端到一台主机的TCP并发连接总数,n是一个数值. -m mac --mac-source <address> 功能:指定数据包的源MAC地址. 现在我们在虚拟机环境下进行测试,仍然引用之前那个静态路由的环境 在RHEL-B上输入刚才的4条命令 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m multiport --port 22,80 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP 查看INPUT规则: 在RHEL- |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于RHEL5.7下iptables防火墙配置(上)的所有评论
