一、WEB 服务筹备
在
WEB 服务端筹备:你须要一台云服务器,这里我用的是 3A 网络的,部署简略疾速,适宜老手。
在 WEB 服务端筹备
# yum -y install httpd
# echo "web page" > /var/www/html/index.html
# systemctl enable httpd
# systemctl start http
二、WEB 服务器防火墙规定配置
场景: 仅容许 WEB 客户端拜访 WEB 服务端 TCP 80 端口,其它任何拜访都回绝。
# iptables -F
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# service iptables save
- Filter 表
1.1 示例 1:(全副容许 / 回绝 / 抛弃)
ptables -t filter -A INPUT -j DROP 增加规定,抛弃所有进来的数据包
iptables -t filter -A INPUT -j ACCEPT 增加规定,容许所有进来的数据包
// 指定地位插入规定,容许所有进来的数据包第 1 条规定
iptables -t filter -I INPUT 1 -j ACCEPT
iptables -t filter -A OUTPUT -j DROP 增加规定,抛弃所有进来的数据包
// 指定地位插入规定,回绝所有进来的数据包为第 3 条规定
iptables -t filter -I INPUT 3 -j REJECT
iptables -t filter -L –line-numbers 查看规定编号
iptables -t filter -R INPUT 1 -j ACCEPT 笼罩已有规定
iptables -t filter -D INPUT 3 删除 INPUT 链的第 3 条规定
1.2 示例 2:(依据源和指标地址匹配)
匹配的条件:
-s 192.168.134.0/24 源地址
-d 192.168.134.1 指标地址
-p tcp|upd|icmp 协定
-i lo input 从 lo 接口进入的数据包
-o eth0 output 从 eth0 进来的数据包
1.3 示例 3:(依据协定匹配过滤)
iptableS -A INPUT -s 10.1.1.3 -p icmp -j DROP
iptables -A INPUT -s 10.1.1.3 -p tcp -j DROP
iptables -A INPUT -s 10.1.1.3 ! -p tcp -j DROP
icmp 协定中:
icmp-type 8 类型为 8 代表申请回显,ping 申请
icmp-type 0 类型为 0 代表回显应答,ping 应答
1.4 示例 4:(依据端口匹配过滤)
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 22 -j ACCEPT