设置iptables允许ssh、http、ftp服务

最新推荐文章于 2023-08-04 14:45:35 发布
最新推荐文章于 2023-08-04 14:45:35 发布
阅读量1w 收藏 5
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/farYang/article/details/52966920
版权

系统环境:centos-6.5

服务器:thinkserver


知识扫盲:

NEW:这个包是我们看到的第一个包

ESTABLISHED:一个连接要从NEW变 为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防 火墙转发的。

FTP服务器有两种工作模式:主动模式和被动模式。这两种方式的特点如下:
 (1)主动模式下:
  tcp, 20(20号端口用于数据传输),21(21号端口用于控制连接)
 (2)被动模式:
  tcp, 21(用于控制连接) >1023(端口号大于1023的随机端口用于数据传输)
  所以如果FTP工作在被动模式下,无法指定数据传输的端口,于是引入了RELATED状态。RELATED主要用于追踪与其相关的端口。注意:ftp工作在主动模式或者被动模式与客户端的请求有关。

ssh、http服务分别工作在22、80端口,第一次进入server端的包为NEW状态,所以要求INPUT链能过ACCEPT客户端的第一次发来的数据包。而后,发给客户端的包,使得该客户端与服务端通信来往包的状态变为ESTABLISHED,所以INPUT链允许通过的状态为NEW、ESTABLISHED,而OUTPUT链,只需ESTABLISHED。


1、设置21,22,80端口INPUT链和OUTPUT链,设置INPUT、FORWORD、OUTPUT链的默认策略为DROP

iptables -I INPUT -d 10.79.32.22 -p tcp -m multiport --destination-ports 21,22,80 -m state --state NEW -j ACCEPT
iptables -I INPUT 1 -d 10.79.32.22 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT 1 -s 10.79.32.22 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP

2、查看iptables状态 

# iptables -L -n


3、保存iptables当前配置,该配置文件位于/etc/sysconfig/iptables

#service iptables save
<p>#vim /etc/sysconfig/iptables</p>



4、修改iptables启动时装载模块,这里增加的两个模块可以为“nf_nat_ftp nf_conntrack_ftp”,也可以写成“ip_nat_ftp ip_conntrack_ftp”

#vim /etc/sysconfig/iptables-config



5、重新启动iptables服务

# service iptablesrestart



6、查看内核是否装载有上述配置的两个有关ftp模块


farYang
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务配置与管理课程标准.pdf
06-08
服务配置与管理》课程标准 课程代码: 建议课时数:60 学分:4 适用专业:计算机网络技术 先修课程:《计算机组装与维护》、《计算机网络基础》、《网络操作系统》、 《网络组建与应用》 后续课程:《毕业设计》 一、前言 1.课程的性质 该课程是江苏省五年制高职计算机网络技术专业网络组建与管理模块的一 门课程。 其任务是:以红帽子linux的安装与配置为核心,全面介绍常用网络管理和 常见服务器的管理技术和方法,使学习者能够熟练配置linux常见服务器,以及 linux网络操作系统与Windows2003网络操作系统协同工作等, 以适应现代网络社 会的需要。 2.设计思路 该课程是依据《计算机网络专业实施性人才培养方案》设置的。其总体设计 思路是, 打破以知识传授为主要特征的传统学科课程模式, 转变为以工作任务为 中心组织课程内容,并让学生在完成具体项目的过程中学会完成相应工作任务, 并构建相关理论知识,发展职业能力。课程内容突出对学生职业能力的训练,理 论知识的选取紧紧围绕工作任务完成的需要来进行, 同时又充分考虑了高等职业 教育对理论知识学习的需要, 并融合了相关职业资格证书对知识、 技能和态度的 要求。 创设了一个虚拟的工作环境, 以公司服务器安装的 Linux 系统实际项目为 前提, 由现存的网络管理需求引出, 以完成 Linux 系统下各种资源管理配置及综 合应用的项目任务,驱动教学过程。教学过程中,要通过校企合作,校内实训基 地建设等多种途径,采取工学结合等形式,充分开发学习资源,给学生提供丰富 的实践机会。 教学效果评价采取过程评价与结果评价相结合的方式, 通过理论与 实践相结合,重点评价学生的职业能力。 依据各学习项目的内容总量以及在该门课程中的地位分配各学习项目的学 时数。 各学习项目的建议学时数如下表所示: 序号 项目 建议课时 1 Linux 基础 4 2 Linux DHCP 服务器的管理 4 3 Linux DNS 服务器的管理 4 4 Linux WEB 服务器的管理 4 5 Linux FTP 服务器的管理 6 6 Linux samba 服务器的管理 6 7 Linux sendmail 服务器的管理 6 8 Linux iptables 的使用 6 9 Linux 远程管理 4 10 Linux 磁盘阵列 4 11 综合服务器的配置 10 11 机动 2 总计 60 二、课程目标 (一)总体目标: 本课程是通过项目引领的软件开发活动, 熟练掌握常用服务配置技能, 对 linux 服务器的配置和管理有基本的了解;能承担中小型企业的服务器管理工作 任务。同时培养吃苦耐劳、爱岗敬业、团队协作的职业精神和诚实、守信、善于 沟通与合作的良好品质,为发展职业能力奠定良好的基础。 (二)具体目标 本课程对学生在知识、素质和能力方面的具体目标如下: 1、知识目标 (1) 能说出 Linux 的性质、Linux 的组成和特点、Linux 发行版本和内核版本 的区别; (2) 能说出 Linux 与其它操作系统的区别和联系; (3) 知道 Linux 用户和组的相关配置文件及各个字段的含义; (4) 知道 Linux 文件的权限的表示方法; (5) 知道 Linux 系统下软件安装、删除和查看的方法; (6) 知道 Linux 系统下设备的命名规则和引用方法; (7) 知道 Linux 内核升级的方法和步骤; (8) 知道 Linux 常见服务配置文件的路径和主要配置项的功能; (9) 知道 Linux 系统安全加固的方法和措施。 (10)知道 Linux 系统远程管理的方法; 2、能力目标 (1) 够独立完成 Linux 系统安装的能力; (2) 能 GRUB 的配置和 inittab 文件的设置; (3) 会使用图形界面下的基本组件; (4) 会 rpm 软件包的基本操作; (5) 会使用文件、目录的操作命令及 VI; (6) 会用户、组的添加与管理; (7) 会文件系统管理命令、fdisk 的使用、磁盘配额的设置; (8) 会进程管理的命令、cron 的使用; (9) 会系统系统日志的查看和使用; (10)能够架设与管理 Samba、NFS、DHCP、DNS、Web、VSftp、MySQL 等服务器 的能力; (11)会 LINUX 防火墙的基本配置和系统的安全防护; (12)会使用 Telnet 远程登录 Linux 系统的具体实现; (13)会使用 SSH 远程登录 Linux 系统的具体实现; (14)会使用 VNC 远程桌面系统访问 Linux 的具体实现。 3、素质目标 (1)体现注重提高学生解决问题,动手实践应用技能的培养目标; (2)激发学生的主动性,增强学生的自信心,并逐渐具有竞争效益意识
北大青鸟Linux服务器搭建课程 2.0.rar
07-16
《北大青鸟Linux服务器搭建课程2.0》课程目标: 使用Linux主机作为网络服务器 DHCP与NIS FTP服务器 Samba实现Windows文件共享服务 BIND作为DNS服务器 Apache作为Web服务器 Sendmail作为邮件服务器 squid代理服务器与iptables防火墙 TCP Wrappers和SSH实现系统安全管理 使用客户机对Linux服务器进行测试
CentOS8 iptables 防火墙配置
young_monkeysun的博客
08-05 8552
iptables防火墙配置iptables 防火墙简介iptables匹配规则规则链依据数据包处理位置的不同分类针对策略规则类型采取不同动作iptables常用命令参数iptables 实践将INPUT默认策略改为DROP向某种类型中添加允许某种协议进入删除某条规则设置指定网段的主机访问本机某端口,拒绝其他所有主机的流量保存iptables 配置设置 iptables 防火墙简介 在操作系统中防火墙在内网和外网中充当保护的屏障,防火墙有软件防火墙和硬件防火墙之分。 在Linux系统中有多种防火墙管理工具,
如何在CentOS设置SSH连接?
LYX_WIN
04-27 5743
其中,"username" 替换为 CentOS 服务器上的用户名,"remote_ip_address" 替换为 CentOS 服务器的 IP 地址。启动之后,需要设置 OpenSSH 服务开机自启动,以便系统重启后服务能自动恢复。现在,可以使用 SSH 客户端连接到 CentOS 服务器了。如果系统有开启防火墙,必须配置防火墙规则以允许 SSH 连接。2、启动 OpenSSH 服务
iptables全面详解(图文并茂含命令指南)
最新发布
程序人生
08-04 6995
iptables原理详解及操作指南
Linux iptables实现(SNAT)源地址转换以及http访问控制
qq_39330735的博客
11-19 2720
Linux iptables实现(SNAT)源地址转换以及http访问控制 1、实验要求SNAT:内网主机访问外网主机,通过iptables进行原地址转换,允许访问外网的httpd和ping 2、外网主机访问内网主机的http服务通过iptables进行目的地址(DNAT)转换 3、仅允许内网主机使用ssh远程管理iptabels通过vm1通过vm1接口进行管理,不允许其他主机通过任何端口进行ssh管理
iptables防火墙
Jerry00713的博客
11-06 1864
p 后接协议,可以限制对协议的访问,一般有 -p icmp 禁止ping , -p tcp 禁用所有tcp的协议的。-p udp 禁用所有udp 的协议的。没有-p http ,因为http是基于tcp基础进行通信,所以禁用tcp就是禁用http的访问,注意使用-p tcp,会导致ssh等也断开。
Linux iptables 整理
Q先生
08-31 295
Linux iptables 整理1. Linux iptables概念1.2 命令格式1.3命令常用参数2. iptables 常用命令整理1. 删除已有规则2.设置链的默认策略3. 阻止指定IP地址4. 允许所有SSH的连接请求5. 仅允许来自指定网络的SSH连接请求6.允许httphttps的连接请求7. 使用multiport 将多个规则结合在一起8. 允许从本地发起的SSH请求9. 仅允许从本地发起到一个指定的网络域的SSH请求10. 允许从本地发起的HTTPS连接请求11. 负载平衡传入的网络
centos8 开机之ssh配置以及iptables等操作
fsheng_rp的专栏
01-07 1105
centos8 的系统,开始安装完成后,需要配置iptables和selinux的操作: 以下是操作详细内容: 1. 安装ssh yum list installed | grep openssh-server 查看是否有ssh yum install openssh-server 安装ssh2. 编辑ssh vim /etc/ssh/sshd_config port 22 AddressFamily any去掉 # ListenAddress 0.0.0.0 删除# ListenAddre...
iptables需求:开启防火墙:可以正常使用ssh服务,dns服务, httpd服务,chrony服务, nfs服务安装
weixin_59181877的博客
01-29 949
添加规则:ssh服务端口22,dns服务53,httpd服务80,chrony服务123,nfs服务111。允许协议访问:sshhttp,dns,chrony,nfs服务。测试 访问虚拟主机端口为1000和80的http页面。关闭firewalld,开启iptables。关闭iptables,开启firewalld。转发端口,永久生效,需要重新加载。
iptables:一系列脚本或一系列脚本,可帮助使用iptablesNetfilter保护Linux服务
05-22
iptables 这是iptables脚本的存储库,以帮助建立与Linux服务器中Linux服务器逐渐进行更多的“允许”交互云。 这个想法是,我们有两个基本脚本: -> BASE 1:完全锁定-这将为您的计算机设置策略以丢弃所有流入服务器的流量-> BASE 2:广泛开放-设置策略以允许所有流量入站到您的服务器从“总锁定”的基础上构建,脚本显示了如何添加: 平; SSH / SFTPFTP; DNS; YUM(基于CentOS); HTTP; HTTPS 该脚本还向您展示了如何区分两个NIC接口并进行设置。 在您的界面上使用不同的规则。 这给出了公共和私人的想法接口集。
Linux服务器基本安全策略详解
11-12
网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTPSSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条:
配置Linux服务SSH 安全访问的四个小技巧
01-10
我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。 Linux SSH 安全策略一:关闭无关端口   网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTPSSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条: 代码如下: -A INPUT -p icmp -j DROP Linux SSH 安全策略二:更改 SSH 端口
解决配置apache虚拟主机后,只能进入欢迎页面(默认欢迎页面),不能进入虚拟主机目录页面
热门推荐
志远的博客
08-23 1万+
系统环境:centos6.5 apache服务器版本:2.2 问题描述:使用apache服务配置几台虚拟主机,但是利用浏览器访问每一个虚拟主机时,页面总是apache服务器的欢迎页面(默认页面) 原因:自己配置虚拟主机的DocumentRoot目录不是/var/www/下的,而是root用户创建的/www/下的目录,而这时SELinux又未关闭,所以导致httpd进程无法访问到/www/目
解决ThinkServer TS250中网卡在centos6.5中没有安装驱动
志远的博客
08-21 9340
机器名称:ThinkServer TS250 问题:输入ifconfig -a命令,只有回环地址的网卡,显然是网卡驱动没有安装好。见下图 输入setup命令,在图形化界面中,显示也没有网卡。 首先,打电话问联想服务器的客服,被告知自己买的服务器没有在centos测试,但是可以兼容redhat,听到这个我放心了,毕竟centos差不多是redhat的克隆版;于是又问了客服对
修改bind搭建的dns服务器监听端口地址为网卡地址
志远的博客
08-15 7788
系统环境:centos-6.5 安装好bind以后; vim /etc/named.conf,查看,这里只监听端口默认只配置了本地回环地址127.0.0.1(见下图红色框) netstat -tunlp,查看地址和监听情况,发现只有回环地址地址的53端口有监听,没有出现网卡地址的53端口监听,见下图 vim  /etc/named.conf,修改该文件,
centos6.5安装使用usb无线网卡并配置静态ip
志远的博客
10-06 6602
系统:centos6.5 usb网卡:EDUP USB无线网卡 EP-N8508GS 1、检查无线网卡设备 # lsusb Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub Bus 0
自己编写的linux的service脚本启动报错:No such file or directory
志远的博客
08-28 4859
在windows中写好的服务脚本,通过xftp传到服务器,执行下面命令: 发现service服务脚本找不到脚本里面的目录,于是,就检查脚本是否有错误 结果发现找不到脚本里用到的/etc/rc.d/init.d/fuctions这个文件,但是这个文件确实存在自己linux服务器上,于是在linux上使用vim来重新编写该脚本。然后执行,发现可以执行。 原因:
通过配置iptables实现: 1、允许ssh远程登录。 2、允许80端口的web访问; 3、禁止ping主机的80端口; 4、允许ftp服务; 5、禁止除以上规则的其他任何网络访问。
04-24
好的,对于您的问题,我可以回答如下: 首先,为了允许ssh远程登录,您需要开放22端口。您可以使用以下命令添加iptables规则: iptables -A INPUT -p tcp --dport 22 -j ACCEPT 接着,为了允许80端口的web访问,您可以使用以下命令添加iptables规则: iptables -A INPUT -p tcp --dport 80 -j ACCEPT 然后,为了禁止ping主机的80端口,您可以使用以下命令添加iptables规则: iptables -A INPUT -p icmp --icmp-type echo-request -j DROP 接下来,为了允许ftp服务,您可以使用以下命令添加iptables规则: iptables -A INPUT -p tcp --dport 21 -j ACCEPT 最后,为了禁止除以上规则的其他任何网络访问,您可以使用以下命令添加iptables规则: iptables -A INPUT -j DROP 请注意,这些规则会直接应用于您的iptables配置,因此请确保您已经了解这些规则并进行了配置。如果您有任何问题,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值