Linux主机安全防护系列(二)iptables

于 2015-07-27 09:36:06 发布
阅读量762 收藏 1
点赞数 1
分类专栏: Linux_safe 文章标签: iptables linux主机安全
本文链接:https://blog.csdn.net/jacson_bai/article/details/47080247
版权
环境介绍:Centos 6.X
1、配置文件/etc/sysconfig/iptables
2、常用指令
-A:指定链名   
-p:指定协议类型   
-d:指定目标地址   
--dport:指定目标端口(destination port 目的端口)   
--sport:指定源端口(source port 源端口)   
-j:指定动作类型  
3、常用案例
配置原则为:允许任意出去,禁止任意进来
1)、基础案例:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#允许本机回环地址
-A INPUT -i lo -p all -j ACCEPT
2)、常用配置
#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)   
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

#常用访问端口   
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT   
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT   
-A INPUT -p tcp -m tcp --dport 10050 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited   
#53端口是DNS相关,TCP和UDP都要配置   
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT   
-A INPUT -p udp -m udp --dport 53 -j ACCEPT   
#ping使用的端口   
-A OUTPUT -p icmp -j ACCEPT   
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT   
-A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT
3)、单独配置
(1)、内网某机器单独开放mysql端口,应该如下配置:   
iptables -A INPUT -s 172.27.1.110-p tcp -m tcp --dport 3306 -j ACCEPT   
iptables -A OUTPUT -s 172.27.1.110 -p tcp -m tcp --sport 3306 -j ACCEPT  
(2)、彻底禁止某IP访问:
#屏蔽单个IP的命令是
iptables -I INPUT -s 172.27.1.110 -j DROP
#屏蔽整段IP访问
iptables -I INPUT -s 172.27.1.110/24-j DROP   

4、服务启动命令

启动指令:service iptables start   

重启指令:service iptables restart   
关闭指令:service iptables stop  
Gopher2035
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值