求助:关于普通服务器的iptables的几条策略!

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
头像
gaer
帖子: 18
注册时间: 2006-05-17 10:48
送出感谢: 0
接收感谢: 0

求助:关于普通服务器的iptables的几条策略!

#1

帖子 gaer » 2006-05-19 12:48

我用的是ubuntu linux,安装了php5,apache2,mysql4,以及iptables最新版!
在没有添加策略前能正常访问!
我参照cu上一个关于iptables的ppt文档,还有录音的那个!
里面有有一个关于设置普通服务器的策略:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
在使用前我用iptables -F 倾空了已有的策略!
里面第二条运行后出错,大意是没有相应的选项,情参照帮助的意思!
所以我用了这两条代替:
iptables -A INPUT -p tcp -d 80 -j ACCEPT
iptables -A INPUT -p tcp -d 22 -j ACCEPT
运行完毕后,我在服务器上的浏览器窗口里运行:192.168.1.5/bbs,能够看到bbs的主页,是正常显示的,但是点击上面的链接却都显示无法找到相应的文件(而文件是存在的)!
请教下,这是怎么回事?
另:如果我要更改默认策略,是不是只要重新打一下,譬如:iptables -P INPUT ACCEPT
如果我还想开ftp服务,是不是再增加这样一条策略:iptables -A INPUT -p ftp -d 21 -j ACCEPT
ak74
帖子: 82
注册时间: 2006-05-20 0:41
送出感谢: 0
接收感谢: 0
联系:

#2

帖子 ak74 » 2006-05-20 1:02

首先我建议您好好看看iptables的手册。
第一个问题:
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT 出错。可能是因为你的内核中没有对Multiport matching地支持。(请列出错误提示原文!)
只要增加内核配置项
Networking
->Networking support
->Networking options
->Network packet filtering
->IP:Netfilter Configuration
-> IP tables support (required for filtering/masq/NAT)
->[ ]Multiple port match support
第二个问题:
文件不存在,与防火墙无关,可能是你的web链接有问题。
第三个问题:
您的理解完全错了。
iptables -A INPUT -p ftp !!!!(没有这样的规则)
iptables -A INPUT -p tcp (udp,icmp) 这里是协议,ftp只是port。-d 后面跟的是地址不是端口号!
您可以这样用:iptables -A INPUT -p tcp --dport ftp -j ACCEPT
(不过这不一定就能保证您可以正常使用ftp服务,取决于您的ftp服务器是主动方式还是被动……)。
我还是强烈的建议您好好看看iptables的指南!!!!您似乎完全没有理解iptables的概念和规则。
头像
firehare
论坛版主
帖子: 2625
注册时间: 2005-04-10 16:54
来自: 温州大学
送出感谢: 0
接收感谢: 2 次
联系:

#3

帖子 firehare » 2006-05-21 10:08

正解
看来楼主兄弟要好好学习天天向上了!:)
我记得在论坛上有 iptables 的中文说明的,比较早的时间,兄弟不妨找找!
我心无畏,源自于我心无知。
图片
networker
帖子: 419
注册时间: 2006-02-06 21:06
来自: Shanghai,China
送出感谢: 0
接收感谢: 0
联系:

#4

帖子 networker » 2006-06-07 12:33

# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。
头像
5451vs5451
帖子: 345
注册时间: 2006-07-14 18:56
来自: Apple Valley, Planet Tux, Linux System
送出感谢: 0
接收感谢: 0

#5

帖子 5451vs5451 » 2006-07-18 14:52

networker 写了:# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。
POLICY全都是ACCEPT,后面的写了也白写。
networker
帖子: 419
注册时间: 2006-02-06 21:06
来自: Shanghai,China
送出感谢: 0
接收感谢: 0
联系:

#6

帖子 networker » 2006-07-24 22:08

jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。
头像
5451vs5451
帖子: 345
注册时间: 2006-07-14 18:56
来自: Apple Valley, Planet Tux, Linux System
送出感谢: 0
接收感谢: 0

#7

帖子 5451vs5451 » 2006-07-24 23:33

networker 写了:jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。
开这么多服务干嘛?连DNS都有,你的PC要做域名服务器?
networker
帖子: 419
注册时间: 2006-02-06 21:06
来自: Shanghai,China
送出感谢: 0
接收感谢: 0
联系:

#8

帖子 networker » 2006-07-26 21:39

不是啊,是自己学习如何配置所以才开的这个端口。 :)
上面的规则有什么不妥的地方嚒?如果有请指出来。谢谢。
头像
5451vs5451
帖子: 345
注册时间: 2006-07-14 18:56
来自: Apple Valley, Planet Tux, Linux System
送出感谢: 0
接收感谢: 0

#9

帖子 5451vs5451 » 2006-07-28 23:40

如果你不打算用自己的PC做服务器,没有必要开这么些端口啊。
BTW:77这个端口号是作什么用的?
networker
帖子: 419
注册时间: 2006-02-06 21:06
来自: Shanghai,China
送出感谢: 0
接收感谢: 0
联系:

#10

帖子 networker » 2006-08-02 10:23

77是ssh。只是自己学习用的。为了方便所以才开了这么多。
头像
5451vs5451
帖子: 345
注册时间: 2006-07-14 18:56
来自: Apple Valley, Planet Tux, Linux System
送出感谢: 0
接收感谢: 0

#11

帖子 5451vs5451 » 2006-08-04 14:38

networker 写了:77是ssh。只是自己学习用的。为了方便所以才开了这么多。
ssh是22吧
networker
帖子: 419
注册时间: 2006-02-06 21:06
来自: Shanghai,China
送出感谢: 0
接收感谢: 0
联系:

#12

帖子 networker » 2006-08-05 20:34

5451vs5451 写了:
networker 写了:77是ssh。只是自己学习用的。为了方便所以才开了这么多。
ssh是22吧
为了安全起见,我把ssh改成77了。
victorden
帖子: 16
注册时间: 2006-08-07 11:17
送出感谢: 0
接收感谢: 0

#13

帖子 victorden » 2006-09-23 17:02

networker 写了:
5451vs5451 写了:
networker 写了:77是ssh。只是自己学习用的。为了方便所以才开了这么多。
ssh是22吧
为了安全起见,我把ssh改成77了。
你真能折腾,佩服!
回复

回到 “服务器基础应用”