linux设置防火墙策略和端口的检测

最新推荐文章于 2021-02-03 10:57:47 发布
最新推荐文章于 2021-02-03 10:57:47 发布
阅读量470 收藏
点赞数
文章标签: 操作系统 运维 数据库
原文链接:http://www.cnblogs.com/Johnny-li/p/9969580.html
版权

linux设置防火墙策略

CentOS 6.8

iptables v1.4.7


iptables -L #查看现有防火墙所有策略

iptables -F #清除现有防火墙策略

只允许特定流量通过,禁用其他流量

#开放redis端口
iptables -A INPUT -p tcp -m tcp --dport 6379 -j ACCEPT

#开放MySql端口
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

#开放WebServer端口
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

#开放SMTP端口
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

#开放ssh端口
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

#允许本地回环接口(即允许本机访问本机)
iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

#开放ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#允许已建立的或相关连的通行?这一行要加上,否则无法访问外网
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#开放本机所有向外的访问
iptables -A OUTPUT -j ACCEPT

#禁用某个访问异常多的ip

 [weblogic@host-192-168-149-56 ~]$ netstat -tn|grep "192.168.149.56"|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -rn

  26 10.212.132.123

  1 10.204.130.158    #首先检查出服务器上各个ip的连接次数;其中netstat -tn命令的-t是检测所有连接的tcp,-n是检测到的不进行域名解析

  iptables -I INPUT 1 -s 10.212.132.123 -j DROP #把这个ip地址禁用掉

保存配置
service iptables save

重启
service iptables restart

端口相关的概念:

在网络技术中,端口(Port)包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口,如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口,如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口,如TCP/IP协议中的服务端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多,为了对端口进行区分,将每个端口进行了编号,这就是端口号

端口按端口号可以分为3大类:

1:公认端口(Well Known Port)

公认端口号从0到1023,它们紧密绑定与一些常见服务,例如FTP服务使用端口21,你在 /etc/services 里面可以看到这种映射关系。

2:注册端口(Registered Ports):

从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的.

3: 动态或私有端口(Dynamic and/or Private Ports)

动态端口,即私人端口号(private port numbers),是可用于任意软件与任何其他的软件通信的端口数,使用因特网的传输控制协议,或用户传输协议。动态端口一般从49152到65535

Linux中有限定端口的使用范围,如果我要为我的程序预留某些端口,那么我需要控制这个端口范围。/proc/sys/net/ipv4/ip_local_port_range定义了本地TCP/UDP的端口范围,你可以在/etc/sysctl.conf里面定义net.ipv4.ip_local_port_range = 1024 65000

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_local_port_range
32768   61000
[root@localhost ~]#  echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range


端口与服务的关系

端口有什么用呢?我们知道,一台拥有IP地址的主机可以提供许多服务,比如Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地址来实现。那么,主机是怎样区分不同的网络服务呢?显然不能只靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。

端口号与相应服务的对应关系存放在/etc/services文件中,这个文件中可以找到大部分端口。

如何检查端口是否开放,其实不整理,还不知道有这么多方法!

1:nmap工具检测开放端口
nmap是一款网络扫描和主机检测的工具。nmap的安装非常简单,如下所示rpm安装所示。

[root@DB-Server Server]# rpm -ivh nmap-4.11-1.1.x86_64.rpm 
warning: nmap-4.11-1.1.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing...                ########################################### [100%]
   1:nmap                   ########################################### [100%]
[root@DB-Server Server]# rpm -ivh nmap-frontend-4.11-1.1.x86_64.rpm 
warning: nmap-frontend-4.11-1.1.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing...                ########################################### [100%]
   1:nmap-frontend          ########################################### [100%]
[root@DB-Server Server]#

关于nmap的使用,都可以长篇大写特写,这里不做展开。如下所示,nmap 127.0.0.1 查看本机开放的端口,会扫描所有端口。 当然也可以扫描其它服务器端口

[root@DB-Server Server]# nmap 127.0.0.1
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2016-06-22 15:46 CST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
111/tcp  open  rpcbind
631/tcp  open  ipp
1011/tcp open  unknown
3306/tcp open  mysql
 
Nmap finished: 1 IP address (1 host up) scanned in 0.089 seconds
You have new mail in /var/spool/mail/root
[root@DB-Server Server]# 
clip_image001
2:netstat 工具检测开放端口

[root@DB-Server Server]# netstat -anlp | grep 3306
tcp 0 0 :::3306 :::* LISTEN 7358/mysqld
[root@DB-Server Server]# netstat -anlp | grep 22
tcp 0 0 :::22 :::* LISTEN 4020/sshd
tcp 0 52 ::ffff:192.168.42.128:22 ::ffff:192.168.42.1:43561 ESTABLISHED 6198/2
[root@DB-Server Server]#
clip_image002

如上所示,这个工具感觉没有nmap简洁明了。当然也确实没有nmap功能强大。

3:lsof 工具检测开放端口

[root@DB-Server Server]# service mysql start
Starting MySQL......[  OK  ]
[root@DB-Server Server]# lsof -i:3306
COMMAND  PID  USER   FD   TYPE DEVICE SIZE NODE NAME
mysqld  7860 mysql   15u  IPv6  44714       TCP *:mysql (LISTEN)
[root@DB-Server Server]# service mysql stop
Shutting down MySQL..[  OK  ]
[root@DB-Server Server]# lsof -i:3306
[root@DB-Server Server]# 
clip_image003

[root@DB-Server Server]# lsof -i TCP| fgrep LISTEN
cupsd     3153    root    4u  IPv4   9115       TCP localhost.localdomain:ipp (LISTEN)
portmap   3761     rpc    4u  IPv4  10284       TCP *:sunrpc (LISTEN)
rpc.statd 3797 rpcuser    7u  IPv4  10489       TCP *:1011 (LISTEN)
sshd      4020    root    3u  IPv6  12791       TCP *:ssh (LISTEN)
sendmail  4042    root    4u  IPv4  12876       TCP localhost.localdomain:smtp (LISTEN)
4: 使用telnet检测端口是否开放

服务器端口即使处于监听状态,但是防火墙iptables屏蔽了该端口,是无法通过该方法检测端口是否开放的。

5:netcat工具检测端口是否开放。
[root@DB-Server ~]# nc -vv 192.168.42.128 1521
Connection to 192.168.42.128 1521 port [tcp/ncube-lm] succeeded!
[root@DB-Server ~]# nc -z 192.168.42.128 1521; echo $?
Connection to 192.168.42.128 1521 port [tcp/ncube-lm] succeeded!
0
[root@DB-Server ~]#  nc -vv 192.168.42.128 1433
nc: connect to 192.168.42.128 port 1433 (tcp) failed: No route to host

转载于:https://www.cnblogs.com/Johnny-li/p/9969580.html

bandui7383
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙.pdf
01-20
中文名: Linux防火墙 原名: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 别名: Linux,Firewall,防火墙,iptables,psad,fwsnort 作者: (美)拉什译者: 陈健资源格式: PDF 版本:...
prometheus监控服务端口
liaos666的博客
03-06 7403
实现思路: 借助blackbox exporter利用端口探测是方式实现监控服务端口。 实现步骤 下载地址: https://github.com/prometheus/blackbox_exporter 下载tar.gz的安装包,这里演示0.16.0的版本 安装步骤: 1、解压安装包并赋权 tar -zxvf blackbox_exporter-0.16.0.linux-amd64.tar.gz -C /usr/local/ mv blackbox_exporter-0.16.0.linux-amd64
虚拟机下Mysql不能远程连接解决方案
xiangff_csdn的博客
09-16 607
1. 授权远程访问 2.防火墙开启3306端口,并重启防火墙和mysql的服务器     vi /etc/sysconfig/iptables     添加配置       :OUTPUT ACCEPT [1009120:257185920]    -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT     //注意一定要在这行之后,太靠后会不起作
linux iptables 配置 linux开启允许外网访问的端口
走自己的路让别人来看
04-30 1万+
linux iptables 配置 linux开启允许外网访问的端口
mysql链接中时常出现111_如何解决远程连接mysql出现Can’t connect to MySQL server on (111 “Connection refused”)的问题...
weixin_28769407的博客
02-03 3935
开放Mysql的远程连接在服务器上登录mysql,然后执行以下的命令。登录mysql:/usr/local/mysql-5.6/bin/mysql-u root-p执行赋权的命令:MySQL>GRANT ALL PRIVILEGES ON*.*TO'root'@'%'IDENTIFIED BY'123456'WITH GRANT OPTION;MySQL>flush priv...
CentOS 7 防火墙设置
dengwenjieyear的博客
10-29 4704
我在CentOS 7系统下配置防火墙时跳了一些坑,想着写篇博客记录下来,让自己以后可以看看曾经踩过的坑(跳过一次就不要再跳了)。 服务器内没有默认安装iptables服务怎么办? 只能自己去配置了,下面记录详细的配置过程。 首先需要做的时把原先默认的firewalld服务干掉,输入以下指令: step1:停止并屏蔽firewalld服务 systemctl stop firewa
基于Linux防火墙技术研究
11-24
余青霞,周钢译.Linux防火墙[M].北京:人民邮电出版社,2000.10 [6] 黄允聪,严望佳,防火墙的选型、配置、安装和维护[M].北京:清华大学出版社,1999.45~108 [7] 原箐,卿斯汉.基于安全数据结构的防火墙[J]计算机科学,...
Linux网络安全技术.pdf
09-06
IDS 可以检测和防止恶意攻击,保护 Linux 系统免受入侵。常见的入侵检测系统包括: 3.1 基于规则的入侵检测系统 基于规则的入侵检测系统可以根据预先定义的规则来检测恶意攻击。例如,可以定义规则来检测特定的...
cmd操作命令和linux命令大全收集
04-24
1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 ,是一个 监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。它在 Windows NT/2000/XP 中均可使用,但在 Windows 98...
2020年全国职业院校技能大赛改革试点赛(中职组)
5L2g556F5ZWl77yf
10-17 5634
为赛卷一,环境都是自己做的,仅作参考 网络安全竞赛试题 (一)(总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
iptables常用端口设置
weixin_34419321的博客
09-08 123
#开启22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT #关闭所有端口 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ...
防火墙策略问题排查思路
qq_44641258的博客
10-13 1293
1.第一步当然是检查防火墙上的网络测虐是否存在。 2.在服务器上使用ping查看是否有丢包情况。 3.在第二步没问题条件下,使用telent ip 端口查看是否可以建立网络。 4.telnet能通,请求却依旧发不出去或者接收不到,使用trceroute ip(不同服务器可能有些区别)查看路由跳转,是否跳转到指定ip 5.如果路由跳转没问题,那就需要检查是否是其他防火墙策略影响了该策略。 6.万能的抓包命令。https://blog.csdn.net/edward30/article/details/8661
centos下配置防火墙端口失败
乌托邦
10-17 1万+
问题:将规则添加到防火墙中,总是端口无法开启 (1)修改文件 首先vim /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5001:5009 -j ACCEPT(允许5001到5009的端口通过防火墙) 接着执行/etc/init.d/iptables restart (重启
centos6.3 配置防火墙,开启80端口、3306端口
08-06 268
vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两...
配置iptables防火墙,开启80端口、3306端口
weixin_34268169的博客
02-17 618
vi /etc/sysconfig/iptables-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙)-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙)特别提示:很多网友...
Linux配置防火墙,开启80端口、3306端口
novelly的专栏
02-16 6353
vi /etc/sysconfig/iptables  -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙)  -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙)  特别提示:很多网友
iptables学习笔记
Epsilon
07-23 1万+
1. 压力测试     ab     host1 ab -n 100000 -c 40 http://192.168.1.112/     host2 netstat -an|grep 80|grep 192.168.1.114 |grep EST -c           w 2. netfilter     linux核心层内部的一个数据包处理模块 3. hook poi
配置防火墙,开启80端口、3306端口 & iptables 使用详解
热门推荐
HarryChenj的专栏
11-12 6万+
vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规
linux下mysql开启远程访问权限及防火墙开放3306端口
王艺强的博客
12-10 6207
开启mysql的远程访问权限 默认mysql的用户是没有远程访问的权限的,因此当程序跟数据库不在同一台服务器上时,我们需要开启mysql的远程访问权限。 主流的有两种方法,改表法和授权法。 相对而言,改表法比较容易一点,个人也是比较倾向于使用这种方法,因此,这里只贴出改表法 1、登陆mysql mysql -u root -p 2、修改mysql库的user表,将host项,从loc
linux系统的安全管理机制与策略
最新发布
06-12
6. 安全更新:Linux系统中的软件包管理器可以自动检测和更新系统中的软件包,从而修复已经发现的安全漏洞和问题。 总之,Linux系统的安全管理需要综合多种手段和工具,包括访问控制、身份认证、安全审计、防火墙、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值