Linux防火墙学习笔记9

示例2：iptables的标准流程：

iptables -F

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  #建议这是防火墙的标配

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT     # 允许内网任何访问，如MySQL、NAS存储

iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 20:21 -j ACCEPT

iptables -A INPUT -j REJECT   # 这条一定放在最后


modprobe nf_conntrack_ftp

最后将规则保存：

 1）将原有的规则配置文件进行备份：

cp /etc/sysconfig/iptables{,.bak}

2）保存防火墙的规则配置文件：

iptables-save > /etc/sysconfig/iptables

案例：

在本机上搭建mysql数据库，在内网的其他机器可以连接到该数据库服务器上。这是一个缺陷。

所以，需要在添加规则：

iptables -I INPUT -p tcp --dport 3306 -j DROP

那么，我们需要更新下防火墙的标准规则：

iptables -F

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  #建议这是防火墙的标配

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT     # 允许内网任何访问，如MySQL、NAS存储

iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 20:21 -j ACCEPT

iptables -A INPUT -j REJECT   # 这条一定放在最后

iptables -I INPUT -p tcp --dport 3306 -j DROP


modprobe nf_conntrack_ftp

常见协议的端口：/etc/services

grep ^http /etc/services

服务	协议	端口
sshd	ssh	22/tcp
httpd	http	80/tcp
	https	443/tcp
dns	domain	53/tcp 53/udp
mail	smtp	25/tcp
	smtps	465/tcp  安全的邮件传输协议
	pop3	110/tcp  邮局协议第三版本
	pop3s	995/tcp
	imap	143/tcp
	imaps	993/tcp
dhcp	bootps	67/udp
nfs	nfs	2049/tcp
samba		137、138、139/tcp
		445/tcp
ftp	ftp	21/tcp
	ftp-data	20/tcp
tftp	tftp	69/udp
ntp	ntp	123/udp  时间服务器
syslog	syslog	514/udp   日志服务

需要记忆。