关于运维:iptables端口放行策略管理

24次阅读

共计 1166 个字符,预计需要花费 3 分钟才能阅读完成。

一、WEB 服务筹备

WEB 服务端筹备:你须要一台云服务器,这里我用的是 3A 网络的,部署简略疾速,适宜老手。
在 WEB 服务端筹备

# yum  -y install httpd
# echo "web page" > /var/www/html/index.html
# systemctl enable httpd
# systemctl start http

二、WEB 服务器防火墙规定配置
场景: 仅容许 WEB 客户端拜访 WEB 服务端 TCP 80 端口,其它任何拜访都回绝。


# iptables -F
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp --dport 80  -j ACCEPT
# service iptables save
  1. Filter 表
    1.1 示例 1:(全副容许 / 回绝 / 抛弃)
    ptables -t filter -A INPUT -j DROP 增加规定,抛弃所有进来的数据包
    iptables -t filter -A INPUT -j ACCEPT 增加规定,容许所有进来的数据包

// 指定地位插入规定,容许所有进来的数据包第 1 条规定
iptables -t filter -I INPUT 1 -j ACCEPT

iptables -t filter -A OUTPUT -j DROP 增加规定,抛弃所有进来的数据包

// 指定地位插入规定,回绝所有进来的数据包为第 3 条规定
iptables -t filter -I INPUT 3 -j REJECT

iptables -t filter -L –line-numbers 查看规定编号
iptables -t filter -R INPUT 1 -j ACCEPT 笼罩已有规定

iptables -t filter -D INPUT 3 删除 INPUT 链的第 3 条规定
1.2 示例 2:(依据源和指标地址匹配)
匹配的条件:

-s 192.168.134.0/24            源地址
-d 192.168.134.1            指标地址
-p tcp|upd|icmp                协定
-i  lo                        input 从 lo 接口进入的数据包
-o eth0                      output 从 eth0 进来的数据包
1.3 示例 3:(依据协定匹配过滤)
iptableS -A INPUT -s 10.1.1.3 -p icmp -j DROP
iptables -A INPUT -s 10.1.1.3 -p tcp -j DROP
iptables -A INPUT -s 10.1.1.3 ! -p tcp -j DROP

icmp 协定中:
icmp-type 8 类型为 8 代表申请回显,ping 申请
icmp-type 0 类型为 0 代表回显应答,ping 应答
1.4 示例 4:(依据端口匹配过滤)

iptables -A INPUT -s 10.1.1.2 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 22 -j ACCEPT

正文完
 0