当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 13 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 求助:关于普通服务器的iptables的几条策略!
帖子发表于 : 2006-05-19 12:48 
头像

注册: 2006-05-17 10:48
帖子: 18
送出感谢: 0 次
接收感谢: 0 次
我用的是ubuntu linux,安装了php5,apache2,mysql4,以及iptables最新版!
在没有添加策略前能正常访问!
我参照cu上一个关于iptables的ppt文档,还有录音的那个!
里面有有一个关于设置普通服务器的策略:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
在使用前我用iptables -F 倾空了已有的策略!
里面第二条运行后出错,大意是没有相应的选项,情参照帮助的意思!
所以我用了这两条代替:
iptables -A INPUT -p tcp -d 80 -j ACCEPT
iptables -A INPUT -p tcp -d 22 -j ACCEPT
运行完毕后,我在服务器上的浏览器窗口里运行:192.168.1.5/bbs,能够看到bbs的主页,是正常显示的,但是点击上面的链接却都显示无法找到相应的文件(而文件是存在的)!
请教下,这是怎么回事?
另:如果我要更改默认策略,是不是只要重新打一下,譬如:iptables -P INPUT ACCEPT
如果我还想开ftp服务,是不是再增加这样一条策略:iptables -A INPUT -p ftp -d 21 -j ACCEPT


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2006-05-20 1:02 

注册: 2006-05-20 0:41
帖子: 82
送出感谢: 0 次
接收感谢: 0 次
首先我建议您好好看看iptables的手册。
第一个问题:
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT 出错。可能是因为你的内核中没有对Multiport matching地支持。(请列出错误提示原文!)
只要增加内核配置项
Networking
->Networking support
->Networking options
->Network packet filtering
->IP:Netfilter Configuration
-> IP tables support (required for filtering/masq/NAT)
->[ ]Multiple port match support
第二个问题:
文件不存在,与防火墙无关,可能是你的web链接有问题。
第三个问题:
您的理解完全错了。
iptables -A INPUT -p ftp !!!!(没有这样的规则)
iptables -A INPUT -p tcp (udp,icmp) 这里是协议,ftp只是port。-d 后面跟的是地址不是端口号!
您可以这样用:iptables -A INPUT -p tcp --dport ftp -j ACCEPT
(不过这不一定就能保证您可以正常使用ftp服务,取决于您的ftp服务器是主动方式还是被动……)。
我还是强烈的建议您好好看看iptables的指南!!!!您似乎完全没有理解iptables的概念和规则。


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2006-05-21 10:08 
头像

注册: 2005-04-10 16:54
帖子: 2625
地址: 温州大学
送出感谢: 0 次
接收感谢: 1
正解
看来楼主兄弟要好好学习天天向上了!:)
我记得在论坛上有 iptables 的中文说明的,比较早的时间,兄弟不妨找找!


_________________
我心无畏,源自于我心无知。
图片


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2006-06-07 12:33 

注册: 2006-02-06 21:06
帖子: 419
地址: Shanghai,China
送出感谢: 0 次
接收感谢: 0 次
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2006-07-18 14:52 
头像

注册: 2006-07-14 18:56
帖子: 345
地址: Apple Valley, Planet Tux, Linux System
送出感谢: 0 次
接收感谢: 0 次
networker 写道:
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。


POLICY全都是ACCEPT,后面的写了也白写。


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2006-07-24 22:08 

注册: 2006-02-06 21:06
帖子: 419
地址: Shanghai,China
送出感谢: 0 次
接收感谢: 0 次
jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2006-07-24 23:33 
头像

注册: 2006-07-14 18:56
帖子: 345
地址: Apple Valley, Planet Tux, Linux System
送出感谢: 0 次
接收感谢: 0 次
networker 写道:
jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。


开这么多服务干嘛?连DNS都有,你的PC要做域名服务器?


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2006-07-26 21:39 

注册: 2006-02-06 21:06
帖子: 419
地址: Shanghai,China
送出感谢: 0 次
接收感谢: 0 次
不是啊,是自己学习如何配置所以才开的这个端口。 :)
上面的规则有什么不妥的地方嚒?如果有请指出来。谢谢。


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2006-07-28 23:40 
头像

注册: 2006-07-14 18:56
帖子: 345
地址: Apple Valley, Planet Tux, Linux System
送出感谢: 0 次
接收感谢: 0 次
如果你不打算用自己的PC做服务器,没有必要开这么些端口啊。
BTW:77这个端口号是作什么用的?


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2006-08-02 10:23 

注册: 2006-02-06 21:06
帖子: 419
地址: Shanghai,China
送出感谢: 0 次
接收感谢: 0 次
77是ssh。只是自己学习用的。为了方便所以才开了这么多。


页首
 用户资料  
 
11 楼 
 文章标题 :
帖子发表于 : 2006-08-04 14:38 
头像

注册: 2006-07-14 18:56
帖子: 345
地址: Apple Valley, Planet Tux, Linux System
送出感谢: 0 次
接收感谢: 0 次
networker 写道:
77是ssh。只是自己学习用的。为了方便所以才开了这么多。


ssh是22吧


页首
 用户资料  
 
12 楼 
 文章标题 :
帖子发表于 : 2006-08-05 20:34 

注册: 2006-02-06 21:06
帖子: 419
地址: Shanghai,China
送出感谢: 0 次
接收感谢: 0 次
5451vs5451 写道:
networker 写道:
77是ssh。只是自己学习用的。为了方便所以才开了这么多。


ssh是22吧

为了安全起见,我把ssh改成77了。


页首
 用户资料  
 
13 楼 
 文章标题 :
帖子发表于 : 2006-09-23 17:02 

注册: 2006-08-07 11:17
帖子: 16
送出感谢: 0 次
接收感谢: 0 次
networker 写道:
5451vs5451 写道:
networker 写道:
77是ssh。只是自己学习用的。为了方便所以才开了这么多。


ssh是22吧

为了安全起见,我把ssh改成77了。


你真能折腾,佩服!


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 13 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译