Linux主机安全防护系列(二)iptables

环境介绍:Centos 6.X
1、配置文件/etc/sysconfig/iptables
2、常用指令

-A:指定链名   
-p:指定协议类型   
-d:指定目标地址   
--dport:指定目标端口(destination port 目的端口)   
--sport:指定源端口(source port 源端口)   
-j:指定动作类型  
3、常用案例
配置原则为:允许任意出去,禁止任意进来
1)、基础案例:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#允许本机回环地址
-A INPUT -i lo -p all -j ACCEPT
2)、常用配置
#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)   
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

#常用访问端口   
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT   
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT   
-A INPUT -p tcp -m tcp --dport 10050 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited   
#53端口是DNS相关,TCP和UDP都要配置   
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT   
-A INPUT -p udp -m udp --dport 53 -j ACCEPT   
#ping使用的端口   
-A OUTPUT -p icmp -j ACCEPT   
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT   
-A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT
3)、单独配置
(1)、内网某机器单独开放mysql端口,应该如下配置:   
iptables -A INPUT -s 172.27.1.110-p tcp -m tcp --dport 3306 -j ACCEPT   
iptables -A OUTPUT -s 172.27.1.110 -p tcp -m tcp --sport 3306 -j ACCEPT  
(2)、彻底禁止某IP访问:
#屏蔽单个IP的命令是
iptables -I INPUT -s 172.27.1.110 -j DROP
#屏蔽整段IP访问
iptables -I INPUT -s 172.27.1.110/24-j DROP   

4、服务启动命令

启动指令:service iptables start   

重启指令:service iptables restart   
关闭指令:service iptables stop  

你可能感兴趣的:(Linux_safe,iptables,linux主机安全)