iptablesアクセスポリシーノート

2424 ワード
iptables
  • Linux 2.4以降のファイアウォールiptables,iptablesは3つのテーブルfilter,nat,mangleからなり,主にfilterテーブルを実験した.このテーブルはパケットをフィルタリングするためのもので,3つのチェーンINPUT,OUTPUT,FOrWARDがある.ファイアウォールポリシーの設定には、固定フォーマット
    iptables
    -tテーブル名(デフォルトはfilter)-Aチェーン名(このチェーンの末尾にappend追加ポリシー)-Iチェーン名数値-I(insert)挿入チェーンがあります.数値を付けない場合は、デフォルトでは、書かれたポリシーをテーブル内のすべてのポリシーの前に追加しますが、対応する行に挿入するように指定します.私たちはこのようにIptables–t filter–I INPUT 2......ここで2番目のマッチング条件に挿入することができます:-iネットワークカードパケットが入ったネットワークカード-oネットワークカードから出た-s ipソースip-d ip目的ip-pプロトコル--dportポート番号のポート番号--sportポート番号のソースポート番号動作:ACCEPT:ポリシーを満たすのパケットはDROP:パケットを破棄することを許可して、しかもいかなる情報REJECT:パケットを破棄しないで、しかし拒否の情報LOGを返します:通過したパケットをログの中に書きます(1人の警備員が入った人を登録することに相当します)本機のiptablesの情況
    iptables -L -n --line-number
    • を表示します
  • ファイアウォールの閉鎖、再起動システムを開いた後に発効
    #  
chkconfig iptables on
#  
chkconfig iptables off
    直ちに発効し、システムを再起動した後に紛失した設定
    #  
service iptables start
#  
service iptables stop
    • .
  • 追加ポリシー
        WEB   ,  80  .
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
         ,  25,110  .
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    FTP   ,  21  
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    DNS   ,  53  
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
            ,        ,     .
        INPUT ,           , DROP
  icmp   ,     ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT   DROP  )
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT   DROP  )
  loopback!(     DNS         )
IPTABLES -A INPUT -i lo -p all -j ACCEPT (   INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(   OUTPUT DROP)
    192.168.0.3の機器のみSSH接続を許可
    [root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
    許可する場合、または制限するIPアドレスは192.168.0.0/24で192.168.0.1-255端のすべてのIPを表すことができる.
    24はサブネットマスク数を示します
     
  • 削除ポリシー
     iptables -D INPUT 1  #  INPUT     1
  • filterテーブルのチェーン
    iptables -t filter -P INPUT DROP     #  filter  INPUT
    • を修正する.
    Volatile変数を使用するか、原子変数を使用するか
    uva 1267 - Network(dfs)