注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

金生丽水,雨润轩德

 
 
 

日志

 
 

Redhat firewall配置  

2009-04-15 16:19:59|  分类: Linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

   一、2个表和4个链
  2个表:  filter和nat
  4个链:
     对应于filter的链:
        INPUT:用于控制对本机的访问
        FORWARD:用于控制通过本机的流量
     对应于nat的链:
        PREROUTING: 用于控制目的地址Dport
        POSTROUING:用于控制目的地址Sport
 
二、命令格式
    iptables <-t 操作的表>
             [操作命令]
             [操作的链]
             [规则号码]
             [匹配条件]
             <-j 匹配后的动作>
 1. 操作命令
   -A <链名>   append,追加规则(在最后)
   -I <链名> [规则号码] input,插入一条规则,位置通过规则号码确定
   -D <链名> [规则号码 | 规则内容] delete,删除一条规则
   -R <链名> [规则号码 ][规则内容]  replace,替换一条规则
   -P <链名> [动作]  policy,设置默认规则,注意动作不需要-j开关
   -F <链名> flush,清空规则,不影响默认规则
   -<vxn>L <链名> ,list,列出规则,-v详细,-x 禁止自动换算,-n只是用数字
 
2. 匹配条件
  流入/流出接口  (-i  -o)
  源地址/目的地址 (-s -d) 可以使IP/网段/域名
  协议类型 (-p) 
  源端口/目的端口  (--sport  --dport)m:n m到n :n小于n   n: 大于n

3. 动作
  ACCEPT
  DROP
  SNAT
  DNAT  -j DNAT --to IP[-IP] [:port-port]
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.2:80
  MASQUERADE

三、 附件模块
1. 按包状态匹配(state) -m state --state 状态
   NEW、RELATED、ESTABLISHED、INVALID
   iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

2. 按MAC地址  -m mac --mac-source MAC

3. 匹配速率 -m limit --limit 速率 [--burst 缓冲数量]

4. multiport,-m multiport <--sports | --dports | --ports> port1,port2,...,portn
  一次性指定多个端口,避免了每个端口设定一个rule的麻烦
  必须与-p开关一起使用

四、保存
  iptables-save

五、FTP的处理方式
   区分active和passive 工作模式
1.主动模式(ACTIVE)
      client                   server
      xxxx |----|----------|--->| 21
      yyyy |<---|----------|----| 20
             

2.被动模式(PASSIVE)
      client                    server
       xxxx |----|----------|--->| 21
       yyyy |----|----------|--->| zzzz
             
 
3. 处理方式
  在所有模式下均需开放TCP 21端口
   在主动模式下,打开TCP 20端口
   在被动模式下,打开高范围端口,并配置FTP服务,减少被动模式的端口范围

  评论这张
 
阅读(1462)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018