Linux的防火墙

回复 收藏

1.9 selinux介绍

配置文件:/etc/selinux/config

获得当前selinux的状态: getenforce

临时关闭: setenforce 0

打开: setenforce 1

临时关闭打开只能selinux值为enforcing时才能用

setenforce命令不存在: rpm -qf `which setenforce`

当使用 setenforce 0 这个命令后,再 getenforce 会输出 “permissive”

永久关闭:

vim /etc/selinux/config

改:SELINUX=disabled

重启机器方可生效

2.0 iptables详解-1

防火墙:netfilter  表table-->链chain-->规则

查看filter表:iptables -t filter -nvL

查看nat表:iptables -t nat -nvL

查看mangle表:iptables -t mangle -nvL

主要filter INPUT OUPUT

增加规则:iptables -t filter -I INPUT -p tcp --dport 80 -s 12.12.12.12 -j REJECT

-p tcp:协议; --dport 80:端口;  -s: 来源ip; -j REJECT:行为

即把80端口和来源IP12.12.12.12的包过滤掉不让访问

查看定义的规则:iptables -nvL (默认为filter表)

-D去掉规则

-A增加规则,增加到表的最下面

-I增加(插入)规则,增加到表的最上面,表最上面的规则先生效

2.1 iptables详解-2

三种行为:REJECT:拒绝; DROP:直接扔掉; ACCEPT:允许

iptables -Z 清空规则计数器,重置包数字节数为0

iptables -F 清空规则

增加规则后要保存:service iptables save

重启:service iptables restart

配置文件:cat /etc/sysconfig/iptables

备份:iptables-save > 1.ipt

恢复:iptables-restore < 1.ipt

2.2 iptables详解-3

filter表主要用来限制进入本机的包和出去的包

INPUT作用于进入本机的包;OUTPUT作用于本机送出的包;FORWARD作用于那些跟本机无关的包

nat表主要用于网络地址转换,比如家用的小路由器就是用nat表实现的

mangle表主要用于给数据包打标记,然后根据标记去操作哪些包

2.3 iptables详解-4

-P后面跟链名,策略内容或者为DROP或者为ACCEPT,默认是ACCEPT

这个策略一旦设定后,只能使用 iptables -P ACCEPT 才能恢复成原始状态,而不能使用-F参数

定义策略:

#!/bin/bash

ipt="/sbin/iptables"

$ipt -F

$ipt -P INPUT ACCEPT

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -s 192.168.0.105 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

$ipt -A INPUT -p tcp --dport 22 -j DROP

2016-12-29 17:48 举报
已邀请:

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: