麻烦各位看看有什么需要改进的。还有就是写iptables规则,要注意逻辑顺序,这个逻辑顺序怎么安排,一般来讲是怎么样的,望指教!# 清楚iptables 里面已经有的规则
iptables -F
iptables -X
# 抛弃所有不符合三种链规则的数据包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 设置:本地进程 lo 的 INPUT 和 OUTPUT 链接 ; eth0的 INPUT链
iptables -A INPUT -i all -m state --state INVALID -j LOG
iptables -A INPUT -i all -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# ICMP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
# 对其他主要允许的端口的 OUTPUT设置:
# DNS
iptables -A OUTPUT -p TCP --dport 53 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT
# HTTP
iptables -A OUTPUT -p TCP --dport 80 -j ACCEPT
# HTTPS
iptables -A OUTPUT -p TCP --dport 443 -j ACCEPT
# Email 接受 和发送
iptables -A OUTPUT -p TCP --dport 110 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 25 -j ACCEPT
# FTP 数据和控制
iptables -A OUTPUT -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 21 -j ACCEPT
# DHCP
iptables -A OUTPUT -p TCP --dport 68 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 68 -j ACCEPT
# POP3S Email安全接收
iptables -A OUTPUT -p TCP --dport 995 -j ACCEPT
# 时间同步服务器 NTP
iptables -A OUTPUT -p TCP --dport 123 -j ACCEPT
# fetion的8080端口https-alt
iptables -A OUTPUT -o eth0 -p TCP --dport 8080 -j ACCEPT
麻烦各位看看iptables
- qq126512306
- 帖子: 339
- 注册时间: 2007-08-31 9:17
麻烦各位看看iptables
- hcym
- 帖子: 15634
- 注册时间: 2007-05-06 2:46
- qq126512306
- 帖子: 339
- 注册时间: 2007-08-31 9:17
Re: 麻烦各位看看iptables
爷。。。偶们一般用都是hcym 写了: 大哥,就看你猛搞iptables规则
那墙别是你筑的吧
问的那些东西都是想学学,反正没事情做 如果您懂的话,麻烦指教下!感激不尽!iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- qq126512306
- 帖子: 339
- 注册时间: 2007-08-31 9:17
Re: 麻烦各位看看iptables
顶下~望懂的人解答下疑惑!谢谢!
- starshine_linux
- 帖子: 12
- 注册时间: 2009-08-09 1:52
- 联系:
Re: 麻烦各位看看iptables
-m state --state RELATED,ESTABLISHED 这一句的具体作用 能解释下么
谢谢 新手 我看man手册 是说明连接的情况 related是新连接 established是双向连接的意思 能告诉我下 具体作用是什么么? 谢谢 发信息给我 !
谢谢 新手 我看man手册 是说明连接的情况 related是新连接 established是双向连接的意思 能告诉我下 具体作用是什么么? 谢谢 发信息给我 !
- qq126512306
- 帖子: 339
- 注册时间: 2007-08-31 9:17
Re: 麻烦各位看看iptables
我也是新手呢 related的包是指相关包,好像比如说你接受包,ttl连接数到0之后,没法传输了,然后要发给你个related包显示这种情况的包给你,这样就被标记为related。还有就是ftp的被动连接服务,连接数据传输的时候,发过来有被标记为related的包,你网上可以查看下定义。starshine_linux 写了: -m state --state RELATED,ESTABLISHED 这一句的具体作用 能解释下么
谢谢 新手 我看man手册 是说明连接的情况 related是新连接 established是双向连接的意思 能告诉我下 具体作用是什么么? 谢谢 发信息给我 !
established包是指已经建立的连接,我是新手,我个人的认为是output数据发送出去了,然后对方服务器的output也发送数据传来了,两端都有数据传输了的包被标记为established 个人是这么认为的。。。不过有待考证。。。还要就是说tcp3次握手的包就是established包
然后我网上查了下一些定义,可以参考下,毕竟我说出来可能都听不懂TCP 3次握手
UDP是一个无连接的协议,相反,TCP在传输失败时会重新再发送一次数据,它的设置比UDP更复杂,以3次握手开始,初始化一个连接,客户端发送一个SYN(开始同步)数据包,服务器然后用一个SYN+ACK数据包进行响应(如果端口是打开的情况下),然后客户端响应一个ACK(告知收到)数据包,连接就这样建立了,这些数据包携带数据序列号,它允许协议检查和重新发送丢失的数据包,如果端口是关闭的或被防火墙过滤了,响应可能是RST或没有响应,更多信息可以查看nmap文档。
指定要匹配包的的状态,当前有4种状态可用:INVALID,ESTABLISHED,NEW和RELATED。 INVALID意味着这个包没有已知的流或连接与之关联,也可能是它包含的数据或包头有问题。ESTABLISHED意思是包是完全有效的,而且属于一个已建立的连接,这个连接的两端都已经有数据发送。NEW表示包将要或已经开始建立一个新的连接,或者是这个包和一个还没有在两端都有数据发送的连接有关。RELATED说明包正在建立一个新的连接,这个连接是和一个已建立的连接相关的。比如,FTP data transfer,ICMP error 和一个TCP或UDP连接相关。注意NEW状态并不在试图建立新连接的TCP包里寻找SYN标记,因此它不应该不加修改地用在只有一个防火墙或在不同的防火墙之间没有启用负载平衡的地方.
-
- 帖子: 445
- 注册时间: 2007-08-27 17:31
Re: 麻烦各位看看iptables
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
一般不会完全禁止PING命令的,这样不便与网络的维护,都会技巧性的开放特定的条件允许特定机器PING。
iptables -A OUTPUT -p tcp -m multiport --dports 53,80,443.63,20,21,68 -j APPECT
精简的规则更容易维护,而且执行效率更高,规则越多,负担越重。使用多端口模块最多可以连写15个端口,对优化防火墙很重要!
关于回环接口 lo ,还是应该写点防欺骗规则的,比如不是从lo接口来的,IP却是127.0.0.1这类应该拒绝
关于iptables的4种连接状态,简单点理解
1,恶意或未知的包叫 INVALID
2,一条连接的第一个包叫 NEW
3,如果一个包成功穿越防火墙,那么这个包所在的连接以后的包都被标记为 ESTABLISHED
4,如果一条连接而引起一条新的连接,那么新的连接产生的包就叫 RELATED ,如果这包成功穿越防火墙,那么就变为ESTABLISHED
基本上防火墙的精华都集中在 网关式防火墙上,上边的这些都属于单机防火墙范围,属于保护防火墙本机的策略规则。
一般不会完全禁止PING命令的,这样不便与网络的维护,都会技巧性的开放特定的条件允许特定机器PING。
iptables -A OUTPUT -p tcp -m multiport --dports 53,80,443.63,20,21,68 -j APPECT
精简的规则更容易维护,而且执行效率更高,规则越多,负担越重。使用多端口模块最多可以连写15个端口,对优化防火墙很重要!
关于回环接口 lo ,还是应该写点防欺骗规则的,比如不是从lo接口来的,IP却是127.0.0.1这类应该拒绝
关于iptables的4种连接状态,简单点理解
1,恶意或未知的包叫 INVALID
2,一条连接的第一个包叫 NEW
3,如果一个包成功穿越防火墙,那么这个包所在的连接以后的包都被标记为 ESTABLISHED
4,如果一条连接而引起一条新的连接,那么新的连接产生的包就叫 RELATED ,如果这包成功穿越防火墙,那么就变为ESTABLISHED
基本上防火墙的精华都集中在 网关式防火墙上,上边的这些都属于单机防火墙范围,属于保护防火墙本机的策略规则。
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼
理查德-费曼
- bobo504
- 帖子: 42
- 注册时间: 2008-06-11 13:05