1、关闭所有的INPUTFORWARDOUTPUT只对某些端口开放。下面是命令实现:
iptables-PINPUTDROPiptables-PFORWARDDROPiptables-POUTPUTDROP
再用命令iptables-L-n查看是否设置好,好看到全部DROP了这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态还要使用serviceiptablessave进行保存看到信息firewallrules防火墙的规则其实就是保存在/etc/sysconfig/iptables可以打开文件查看vi/etc/sysconfig/iptables2、下面我只打开22端口,看我是如何操作的,就是下面2个语句
iptables-AINPUT-ptcp--dport22-jACCEPTiptables-AOUTPUT-ptcp--sport22-jACCEPT
再查看下iptables-L-n是否添加上去,看到添加了
ChainINPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22
ChainFORWARD(policyDROP)targetprotoptsourcedestination
ChainOUTPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22
现在Linux服务器只打开了22端口,用putty.exe测试一下是否可以链接上去。可以链接上去了,说明没有问题。
最后别忘记了保存对防火墙的设置通过命令:serviceiptablessave进行保存
iptables-AINPUT-ptcp--dport22-jACCEPTiptables-AOUTPUT-ptcp--sport22-jACCEPT针对这2条命令进行一些讲解吧-A参数就看成是添加一条INPUT的规则-p指定是什么协议我们常用的tcp协议,当然也有udp例如53端口的DNS到时我们要配置DNS用到53端口大家就会发现使用udp协议的
而--dport就是目标端口当数据从外部进入服务器为目标端口反之数据从服务器出去则为数据源端口使用--sport
-j就是指定是ACCEPT接收或者DROP不接收3、禁止某个IP访问1台Linux服务器,2台windowsxp操作系统进行访问Linux服务器ip192.168.1.99xp1ip:192.168.1.2xp2ip:192.168.1.8
下面看看我2台xp都可以访问的
192.168.1.2这是xp1可以访问的,192.168.1.8xp2也是可以正常访问的。
那么现在我要禁止192.168.1.2xp1访问,xp2正常访问,下面看看演示
通过命令iptables-AINPUT-ptcp-s192.168.1.2-jDROP这里意思就是-A就是添加新的规则,怎样的规则呢?由于我们访问网站使用tcp的,我们就用-ptcp,如果是udp就写udp,这里就用tcp了,-s就是来源的意思,ip来源于192.168.1.2,-j怎么做我们拒绝它这里应该是DROP
好,看看效果。好添加成功。下面进行验证一下是否生效
一直出现等待状态最后该页无法显示,这是192.168.1.2xp1的访问被拒绝了。
再看看另外一台xp是否可以访问,是可以正常访问的192.168.1.8是可以正常访问的4、如何删除规则首先我们要知道这条规则的编号,每条规则都有一个编号
通过iptables-L-n--line-number可以显示规则和相对应的编号numtargetprotoptsourcedestination1DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:33062DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:213DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:80多了num这一列,这样我们就可以看到刚才的规则对应的是编号2
那么我们就可以进行删除了iptables-DINPUT2删除INPUT链编号为2的规则。
再iptables-L-n查看一下已经被清除了。5、过滤无效的数据包假设有人进入了服务器,或者有病毒***程序,它可以通过22,80端口像服务器外传送数据。它的这种方式就和我们正常访问22,80端口区别。它发向外发的数据不是我们通过访问网页请求而回应的数据包。
下面我们要禁止这些没有通过请求回应的数据包,统统把它们堵住掉。
iptables提供了一个参数是检查状态的,下面我们来配置下22和80端口,防止无效的数据包。
iptables-AOUTPUT-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
可以看到和我们以前使用的:iptables-AOUTPUT-ptcp--sport22-jACCEPT多了一个状态判断。
同样80端口也一样,现在删掉原来的2条规则,iptables-L-n--line-number这个是查看规则而且带上编号。我们看到编号就可以删除对应的规则了。
iptables-DOUTPUT1这里的1表示第一条规则。
当你删除了前面的规则,编号也会随之改变。看到了吧。
好,我们删除了前面2个规则,22端口还可以正常使用,说明没问题了
下面进行保存,别忘记了,不然的话重启就会还原到原来的样子。
serviceiptablessave进行保存。
Savingfirewallrulesto/etc/sysconfig/iptables:[OK]其实就是把刚才设置的规则写入到/etc/sysconfig/iptables文件中。6、DNS端口53设置下面我们来看看如何设置iptables来打开DNS端口,DNS端口对应的是53
大家看到我现在的情况了吧,只开放22和80端口,我现在看看能不能解析域名。
host输入这个命令后,一直等待,说明DNS不通
出现下面提示:;;connectiontimedout;noserverscouldbereached
ping一下域名也是不通[root@localhost~pingping:unknownhost
我这里的原因就是iptables限制了53端口。
有些服务器,特别是Web服务器减慢,DNS其实也有关系的,无法发送包到DNS服务器导致的。
下面演示下如何使用iptables来设置DNS53这个端口,如果你不知道域名服务端口号,你
可以用命令:grepdomain/etc/services
[root@localhost~grepdomain/etc/servicesdomain53/tcp#name-domainserverdomain53/udpdomaintime9909/tcp#domaintimedomaintime9909/udp#domaintime
看到了吧,我们一般使用udp协议。
好了,开始设置。。。
iptables-AOUTPUT-pudp--dport53-jACCEPT这是我们ping一个域名,数据就是从本机出去,所以我们先设置OUTPUT,我们按照ping这个流程来设置。
然后DNS服务器收到我们发出去的包,就回应一个回来iptables-AINPUT-pudp--sport53-jACCEPT
同时还要设置iptables-AINPUT-pudp--dport53-jACCEPTiptables-AOUTPUT-pudp--sport53-jACCEPT
好了,下面开始测试下,可以用iptables-L-n查看设置情况,确定没有问题就可以测试了
[root@localhost~iptables-L-nChainINPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:80ACCEPTudp--0.0.0.0/00.0.0.0/0udpspt:53ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:53
ChainFORWARD(policyDROP)targetprotoptsourcedestination
ChainOUTPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22stateESTABLISHEDACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:80stateESTABLISHEDACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:53ACCEPTudp--0.0.0.0/00.0.0.0/0udpspt:53
可以测试一下是否DNS可以通过iptables了。
[root@localhost~hostisanaliasfor.isanaliasforwww-china.l.google.com.www-china.l.google.comhasaddress64.233.189.104www-china.l.google.comhasaddress64.233.189.147www-china.l.google.comhasaddress64.233.189.99
正常可以解析google域名。
ping方面可能还要设置些东西。
用nslookup看看吧
[root@localhost~nslookup>Server:192.168.1.1Address:192.168.1.1#53
Non-authoritativeanswer:canonicalname=.canonicalname=www-china.l.google.com.Name:www-china.l.google.comAddress:64.233.189.147Name:www-china.l.google.comAddress:64.233.189.99Name:www-china.l.google.comAddress:64.233.189.104
说明本机DNS正常,iptables允许53这个端口的访问。7、iptables对ftp的设置现在我开始对ftp端口的设置,按照我们以前的视频,添加需要开放的端口ftp连接端口有2个21和20端口,我现在添加对应的规则。
[root@localhostrootiptables-AINPUT-ptcp--dport21-jACCEPT[root@localhostrootiptables-AINPUT-ptcp--dport20-jACCEPT[root@localhostrootiptables-AOUTPUT-ptcp--sport21-jACCEPT[root@localhostrootiptables-AOUTPUT-ptcp--sport20-jACCEPT
好,这样就添加完了,我们用浏览器访问一下ftp,出现超时。
所以我刚才说ftp是比较特殊的端口,它还有一些端口是数据传输端口,例如目录列表,上传,下载文件都要用到这些端口。
而这些端口是任意端口。。。这个任意真的比较特殊。
如果不指定什么一个端口范围,iptables很难对任意端口开放的,如果iptables允许任意端口访问,那和不设置防火墙没什么区别,所以不现实的。
那么我们的解决办法就是指定这个数据传输端口的一个范围。
下面我们修改一下ftp配置文件。
我这里使用vsftpd来修改演示,其他ftp我不知道哪里修改,大家可以找找资料。
[root@localhostrootvi/etc/vsftpd.conf
在配置文件的最下面加入
pasv_min_port=30001pasv_max_port=31000
然后保存退出。
这两句话的意思告诉vsftpd,要传输数据的端口范围就在30001到31000这个范围内传送。
这样我们使用iptables就好办多了,我们就打开30001到31000这些端口。
[root@localhostrootiptables-AINPUT-ptcp--dport30001:31000-jACCEPT[root@localhostrootiptables-AOUTPUT-ptcp--sport30001:31000-jACCEPT
[root@localhostrootserviceiptablessave
最后进行保存,然后我们再用浏览器范围下ftp。可以正常访问
用个账号登陆上去,也没有问题,上传一些文件上去看看。
看到了吧,上传和下载都正常。。再查看下iptables的设置
[root@localhostrootiptables-L-nChainINPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:21ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:20ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpts:30001:31000
ChainFORWARD(policyDROP)targetprotoptsourcedestination
ChainOUTPUT(policyDROP)targetprotoptsourcedestinationACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:21ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:20ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspts:30001:31000
这是我为了演示ftp特殊端口做的简单规则,大家可以添加一些对数据包的验证例如-mstate--stateESTABLISHED,RELATED等等要求更加高的验证