当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
1 楼 
 文章标题 : [问题] iptables配置,请高手给予指点
帖子发表于 : 2008-05-28 16:28 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
通过看wiki,不是很明白,将我的配置过程设计如下,请高手给予指正。我的服务器提供WEB、FTP、SSH服务。

因为网站在运行,不敢瞎试。我是新手。

iptables -F
iptables -X
#初始化

iptables -P INPUT DROP
#禁止所有连入的请求

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开启80、20-22端口,对应的WEB、FTP、SSH服务。

iptables-save > /etc/iptables.up.rule
#存储当前的iptables的配置到/etc下。

sudo gedit /etc/network/interfaces
#编辑网卡配置

pre-up iptables-restore < /etc/iptables.up.rules
#在配置文件最后加上这一句,启动自动调用已存储的iptables

post-down iptables-save > /etc/iptables.up.rule
#在配置文件最后加上这一句,关机时,把当前iptables 储存


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-05-29 2:01 

注册: 2008-05-09 0:16
帖子: 49
送出感谢: 0 次
接收感谢: 0 次
我很佩服用命令行一点点敲的勇士们,为何不装个图形设置工具?比如:FWbuilder


_________________
致力于多语言网站制作,愿中国与世界的联系更紧密!
http://www.vgetr.com
http://www.yzsw.com
http://www.jobhap.com


页首
 用户资料  
 
3 楼 
 文章标题 : Re: [问题] iptables配置,请高手给予指点
帖子发表于 : 2008-05-29 2:21 
头像

注册: 2006-02-28 3:11
帖子: 2470
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
通过看wiki,不是很明白,将我的配置过程设计如下,请高手给予指正。我的服务器提供WEB、FTP、SSH服务。

因为网站在运行,不敢瞎试。我是新手。

iptables -F
iptables -X
#初始化

iptables -P INPUT DROP
#禁止所有连入的请求

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开启80、20-22端口,对应的WEB、FTP、SSH服务。

iptables-save > /etc/iptables.up.rule
#存储当前的iptables的配置到/etc下。

sudo gedit /etc/network/interfaces
#编辑网卡配置

pre-up iptables-restore < /etc/iptables.up.rules
#在配置文件最后加上这一句,启动自动调用已存储的iptables

post-down iptables-save > /etc/iptables.up.rule
#在配置文件最后加上这一句,关机时,把当前iptables 储存


问楼主, 怎么用iptables控制连出的端口??


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-05-29 6:56 
头像

注册: 2007-05-06 2:46
帖子: 15634
送出感谢: 0 次
接收感谢: 2
比如:FWbuilder
:roll:


页首
 用户资料  
 
5 楼 
 文章标题 : Re: [问题] iptables配置,请高手给予指点
帖子发表于 : 2008-05-30 21:22 

注册: 2006-04-28 21:31
帖子: 198
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
通过看wiki,不是很明白,将我的配置过程设计如下,请高手给予指正。我的服务器提供WEB、FTP、SSH服务。

因为网站在运行,不敢瞎试。我是新手。

iptables -F
iptables -X
#初始化

iptables -P INPUT DROP
#禁止所有连入的请求

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开启80、20-22端口,对应的WEB、FTP、SSH服务。

iptables-save > /etc/iptables.up.rule
#存储当前的iptables的配置到/etc下。

sudo gedit /etc/network/interfaces
#编辑网卡配置

pre-up iptables-restore < /etc/iptables.up.rules
#在配置文件最后加上这一句,启动自动调用已存储的iptables

post-down iptables-save > /etc/iptables.up.rule
#在配置文件最后加上这一句,关机时,把当前iptables 储存


就策略而言,没什么问题。只是你的内网外网不分。ssh 你最好还是限制连入的IP (或者用 VPN),要不你就等着别人孜孜不倦的用字典暴力攻击吧。

Linux强悍的地方在于命令行,图形界面是它的弱项,所以那些图形化的工具基本上都是鸡肋。

如果你的主机处理器在奔三级别以上,你可以用shorewall。偶的防火墙就一 200兆HZ MIPS 处理器跑shorewall 太吃力只能用iptables.

正在看QoS, 先忙去了。


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-06-01 10:14 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
我的服务器是局域网内的,所以不考虑外网上的一些东西。

另外我按这个设置我试了一下,FTP不能用,而且WEB好像速度比以前慢了很多。


我用的是ubuntu 710 server 系统,继续求助中。。。。。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-06-02 17:18 

注册: 2006-04-28 21:31
帖子: 198
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
我的服务器是局域网内的,所以不考虑外网上的一些东西。

另外我按这个设置我试了一下,FTP不能用,而且WEB好像速度比以前慢了很多。


我用的是ubuntu 710 server 系统,继续求助中。。。。。


如果你的ssh, http可以用,我不觉的是防火墙的问题。不管怎样你可以试一下下面的 (如果你的服务器只有一个网卡的话)

iptables -P OUTPUT ACCEPT

不知道你是不是用自己编译的内核?


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-06-03 8:59 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
我倒想自己编译内核,关键没那能耐,呵呵

我的服务器一块网卡,配置了两个IP,一个做WEB,一个做FTP


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-06-03 17:52 

注册: 2006-04-28 21:31
帖子: 198
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
我倒想自己编译内核,关键没那能耐,呵呵

我的服务器一块网卡,配置了两个IP,一个做WEB,一个做FTP


自己编辑内核,有时候经常少编了内核模块进去。到要用的时候只好抓狂。

帮你改了一下:

代码:
#!/bin/bash

IPTABLES=/sbin/iptables

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -A INPUT -m multiport -p tcp --dport 20:21 -j LOG --log-prefix "网路接入..FTP..  "
$IPTABLES -A INPUT  -p tcp --dport 22 -j LOG --log-prefix "网路接入..SSH..  "
$IPTABLES -A INPUT  -p tcp --dport 80 -j LOG --log-prefix "网路接入..HTTP..  "


$IPTABLES -A INPUT -m multiport -p tcp --dport 20:22,80 -j ACCEPT

$IPTABLES -A INPUT DROP

$IPTABLES -A FORWARD DROP

echo 1 > /proc/sys/net/ipv4/ip_forward

echo "[+] iptables policy activated"


查看系统日志如下

tail -f /var/log/syslog

如果有人链接到你服务器上那些指定的服务的话,系统日志会显示详细的链接信息。


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2008-06-03 19:25 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
我可能说得不对啊,我对你的配置提点疑问

1、iptables是从上往下执行的,我看了好几个配置都是先禁止所有联接,然后允许需要打开的连接,你在最后禁止了所有的连接,是不是最后全部禁止连接了。(从网上看资料自己理解的)你之所以这么设是不是在这之前的三个允许全部通过设置起作用?

2、我想知道你为什么不设 iptables -P OUTPUT DROP 呢?

3、有三个设置后面你写了注释,但这之后的一条设置允许20.22.80是为什么?这之前你不是已经允许20.21.22.80通过了吗?最好你能将每条设置后面都加个注释最好了,我好多没看明白,尤其是最后两条。


第一次搞iptables,问的问题你别见笑啊


页首
 用户资料  
 
11 楼 
 文章标题 :
帖子发表于 : 2008-06-04 18:47 

注册: 2006-04-28 21:31
帖子: 198
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
我可能说得不对啊,我对你的配置提点疑问

1、iptables是从上往下执行的,我看了好几个配置都是先禁止所有联接,然后允许需要打开的连接,你在最后禁止了所有的连接,是不是最后全部禁止连接了。(从网上看资料自己理解的)你之所以这么设是不是在这之前的三个允许全部通过设置起作用?

2、我想知道你为什么不设 iptables -P OUTPUT DROP 呢?

3、有三个设置后面你写了注释,但这之后的一条设置允许20.22.80是为什么?这之前你不是已经允许20.21.22.80通过了吗?最好你能将每条设置后面都加个注释最好了,我好多没看明白,尤其是最后两条。


第一次搞iptables,问的问题你别见笑啊


1. iptables 规则是有先后顺序的,最先启用的规则有优先权(即先被执行)。如果有两条规则相抵触那么根据最先执行的规则为准。我这里说的是规则而不是默认的策略(-P)
2. 为什么我不设这个默认的“出”策略。所有的沟通都是双向的,所以有进无出只是监听机器人的行为。
3. 注释仅仅是注释,它不具有允许或者阻止连接的功能。

令:倒数第两条是允许网络连结的再传递,你的box即不做gateway 也不做 路由 我觉得你暂时用不到。最后一条是提示你该脚本执行完毕。


页首
 用户资料  
 
12 楼 
 文章标题 :
帖子发表于 : 2008-06-05 10:35 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
$IPTABLES -A INPUT -m multiport -p tcp --dport 20:21 -j LOG --log-prefix
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix


这三条与下面这条设置是什么关系啊?能解释一下吗?

$IPTABLES -A INPUT -m multiport -p tcp --dport 20:22,80 -j ACCEPT


页首
 用户资料  
 
13 楼 
 文章标题 :
帖子发表于 : 2008-06-05 22:06 

注册: 2006-04-28 21:31
帖子: 198
送出感谢: 0 次
接收感谢: 0 次
wdb2005 写道:
$IPTABLES -A INPUT -m multiport -p tcp --dport 20:21 -j LOG --log-prefix
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix


这三条与下面这条设置是什么关系啊?能解释一下吗?

$IPTABLES -A INPUT -m multiport -p tcp --dport 20:22,80 -j ACCEPT


在上封回复我已经解释的很清楚了。前三句用来做日志记录,最后一句是真正的允许规则.


页首
 用户资料  
 
14 楼 
 文章标题 :
帖子发表于 : 2008-06-10 16:41 
头像

注册: 2007-02-23 18:45
帖子: 92
送出感谢: 0 次
接收感谢: 0 次
iptables v1.3.6: Unknown arg `--log-prefix'


执行到
IPTABLES -A INPUT -m multiport -p tcp --dport 20:21 -j LOG --log-prefix "网路接入..FTP.. "

提示上面的错误。


页首
 用户资料  
 
15 楼 
 文章标题 :
帖子发表于 : 2008-06-19 16:28 

注册: 2008-06-19 14:46
帖子: 4
送出感谢: 0 次
接收感谢: 0 次
iptables 的优先级是按队列 顺序执行的, -A, (append)即在加在队列后面, 优先级较低, -I (insert) 加到队列前面, 强制提高优先级.


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译