對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/2/19 20:11:35
發信人: kenduest.bbs@bbs.cynix.com.tw (小州), 看板: Linux
標 題: [文件]使用 iptables 設定一些安全防護功能 (2)
發信站: CynixBBS. (Tue May 15 19:15:01 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
下面是我設定 iptables 的一些簡單規則,可以參考一下。(與 NAT 無關喔)
# 掛入相關 module
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
# 重設
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t mangle
# 把 FORWARD 關閉
iptables -P FORWARD DROP
# 這是打開讓自己網域可以方便連結,也就是該網域不設防
iptables -A INPUT -p all -s ip_net/netmask -j ACCEPT
# 允許相關連結服務
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
上面是打開允許 port 20、21、22、23、25、53、110、113 等服務才能夠
被外面所連線。
port 20、21 : ftp 使用的。
port 22 : ssh 連線
port 23 : telnet 連線。方便使用,其實不開放比較安全。
port 25 : sendmail 使用。讓信件可以寄進來。
port 53 : dns 使用。dns 需要打開 udp 使用。
port 110 : pop3 使用
port 113 : auth 身份確認。我打開是讓一些使用該 113 確認身份的主機
不至於反查時會卡住很久。
最後一行是對於主動連線或者是不合法連線,一律通通拒絕掉。
這個 script 內容,很適用只允許外面連結特定的 port 服務,剩下的其餘port 就拒絕外面主動建立的連線。比方使用 Modem 撥接,只希望裡面可以正常連線出去,外面都無法連線進來這個需求。(ps: modem 是使用 ppp0等這些介面,上面的 eth0 要改成 ppp0 )
標 題: [文件]使用 iptables 設定一些安全防護功能 (2)
發信站: CynixBBS. (Tue May 15 19:15:01 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
下面是我設定 iptables 的一些簡單規則,可以參考一下。(與 NAT 無關喔)
# 掛入相關 module
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
# 重設
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t mangle
# 把 FORWARD 關閉
iptables -P FORWARD DROP
# 這是打開讓自己網域可以方便連結,也就是該網域不設防
iptables -A INPUT -p all -s ip_net/netmask -j ACCEPT
# 允許相關連結服務
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
上面是打開允許 port 20、21、22、23、25、53、110、113 等服務才能夠
被外面所連線。
port 20、21 : ftp 使用的。
port 22 : ssh 連線
port 23 : telnet 連線。方便使用,其實不開放比較安全。
port 25 : sendmail 使用。讓信件可以寄進來。
port 53 : dns 使用。dns 需要打開 udp 使用。
port 110 : pop3 使用
port 113 : auth 身份確認。我打開是讓一些使用該 113 確認身份的主機
不至於反查時會卡住很久。
最後一行是對於主動連線或者是不合法連線,一律通通拒絕掉。
這個 script 內容,很適用只允許外面連結特定的 port 服務,剩下的其餘port 就拒絕外面主動建立的連線。比方使用 Modem 撥接,只希望裡面可以正常連線出去,外面都無法連線進來這個需求。(ps: modem 是使用 ppp0等這些介面,上面的 eth0 要改成 ppp0 )