求iptalbes设置,急,在线等!!!

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
ubuntuck
帖子: 19
注册时间: 2007-11-27 11:10
送出感谢: 0
接收感谢: 0

求iptalbes设置,急,在线等!!!

#1

帖子 ubuntuck » 2007-12-26 14:38

由于本人刚刚接触防火墙配置,不太明白iptables的命令及其配置文件
哪位高人能否在自己的配置文件的基础上改一下,发个配置上来

需求:只有ssh,ftp服务器可以通过

并能为webmin开放10000这个端口

谢谢先 :)
vulcan
帖子: 9
注册时间: 2006-02-07 15:21
来自: Civil Aviation University of China
送出感谢: 0
接收感谢: 0
联系:

#2

帖子 vulcan » 2007-12-29 11:01

#加入必须的模块,ftp必须用到tracking模块,但如果内核配置了模块自动加载,其实也没有问题,我忘了那些了,因为我要得必须的模块都已经编译进了内核了
#####
#默认全部关闭
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A
#开ssh
#对于服务器,可以考虑关闭主动连接,也就是说不允许主动连出去
iptables -A INPUT -p tcp --dport ssh -m --state NEW, ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh ! --syn -j ACCEPT
#开ftp,根据情况使用
#接受ftp连接
iptables -A INPUT -p tcp --dport 21 -m --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
#数据传输的两种模式,根据情况使用
#ftp服务器主动模式
iptables -A INPUT -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
iptables -A OUTOUT -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
#ftp服务器被动模式
iptables -A INPUT -p tcp --dport 1024: ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTOUT -p tcp --sport 1024: ESTABLISHED -j ACCEPT
#开放webadmin
iptables -A INPUT -p tcp --dport 10000 -m --state NEW, ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000 ! --syn -j ACCEPT
#有状态的防火墙建议再加上Dos预防的功能
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
###上面的基本可以,它仅仅允许了接受ssh和ftp连接,但是服务器上面这些还是不够的,请参考iptables howto,再加上适合你的一些规则
回复

回到 “服务器基础应用”