一、WEB服务筹备
在
WEB服务端筹备:你须要一台云服务器,这里我用的是3A网络的,部署简略疾速,适宜老手。
在WEB服务端筹备
# yum -y install httpd# echo "web page" > /var/www/html/index.html# systemctl enable httpd# systemctl start http二、WEB服务器防火墙规定配置
场景: 仅容许WEB客户端拜访WEB服务端TCP 80端口,其它任何拜访都回绝。
# iptables -F# iptables -P INPUT DROP# iptables -A INPUT -p tcp --dport 80 -j ACCEPT# service iptables save- Filter表
1.1 示例1:(全副容许/回绝/抛弃)
ptables -t filter -A INPUT -j DROP 增加规定,抛弃所有进来的数据包
iptables -t filter -A INPUT -j ACCEPT 增加规定,容许所有进来的数据包
//指定地位插入规定,容许所有进来的数据包第1条规定
iptables -t filter -I INPUT 1 -j ACCEPT
iptables -t filter -A OUTPUT -j DROP 增加规定,抛弃所有进来的数据包
//指定地位插入规定,回绝所有进来的数据包为第3条规定
iptables -t filter -I INPUT 3 -j REJECT
iptables -t filter -L --line-numbers 查看规定编号
iptables -t filter -R INPUT 1 -j ACCEPT 笼罩已有规定
iptables -t filter -D INPUT 3 删除INPUT链的第3条规定
1.2 示例2:(依据源和指标地址匹配)
匹配的条件:
-s 192.168.134.0/24 源地址-d 192.168.134.1 指标地址-p tcp|upd|icmp 协定-i lo input 从lo接口进入的数据包-o eth0 output 从eth0进来的数据包1.3 示例3:(依据协定匹配过滤)iptableS -A INPUT -s 10.1.1.3 -p icmp -j DROPiptables -A INPUT -s 10.1.1.3 -p tcp -j DROPiptables -A INPUT -s 10.1.1.3 ! -p tcp -j DROPicmp协定中:
icmp-type 8 类型为8代表申请回显,ping申请
icmp-type 0 类型为0代表回显应答,ping应答
1.4 示例4:(依据端口匹配过滤)
iptables -A INPUT -s 10.1.1.2 -p tcp --dport 80 -j ACCEPTiptables -A INPUT -s 10.1.1.2 -p tcp --dport 20:21 -j ACCEPTiptables -A INPUT -s 10.1.1.2 -p tcp --dport 22 -j ACCEPT