 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1730064
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2005/2/19 20:11 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15773
|
- [分享]使用 iptables 設定一些安全防護功能 (2)
- 發信人: kenduest.bbs@bbs.cynix.com.tw (小州), 看板: Linux
標 題: [文件]使用 iptables 設定一些安全防護功能 (2)
發信站: CynixBBS. (Tue May 15 19:15:01 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
下面是我設定 iptables 的一些簡單規則,可以參考一下。(與 NAT 無關喔)
# 掛入相關 module
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
# 重設
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t mangle
# 把 FORWARD 關閉
iptables -P FORWARD DROP
# 這是打開讓自己網域可以方便連結,也就是該網域不設防
iptables -A INPUT -p all -s ip_net/netmask -j ACCEPT
# 允許相關連結服務
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
上面是打開允許 port 20、21、22、23、25、53、110、113 等服務才能夠
被外面所連線。
port 20、21 : ftp 使用的。
port 22 : ssh 連線
port 23 : telnet 連線。方便使用,其實不開放比較安全。
port 25 : sendmail 使用。讓信件可以寄進來。
port 53 : dns 使用。dns 需要打開 udp 使用。
port 110 : pop3 使用
port 113 : auth 身份確認。我打開是讓一些使用該 113 確認身份的主機
不至於反查時會卡住很久。
最後一行是對於主動連線或者是不合法連線,一律通通拒絕掉。
這個 script 內容,很適用只允許外面連結特定的 port 服務,剩下的其餘port 就拒絕外面主動建立的連線。比方使用 Modem 撥接,只希望裡面可以正常連線出去,外面都無法連線進來這個需求。(ps: modem 是使用 ppp0等這些介面,上面的 eth0 要改成 ppp0 )
|
|
|
|
|
討論串
-
 [分享]簡易 NAT 伺服器 (冷日
(冷日), 2005/2/19 19:51)
- [分享]PROXY.IP Masquerading.Transparent Proxy.工作原理 (冷日
(冷日), 2005/2/19 19:58)
- [分享]iptables/chains + squid transparent proxy (冷日
(冷日), 2005/2/19 20:05)
- [分享]使用 iptables 設定使用 NAT 分享網路頻寬 (冷日
(冷日), 2005/2/19 20:06)
- [分享]使用 iptables 設定一些安全防護功能 (1) (冷日
(冷日), 2005/2/19 20:08)
- » [分享]使用 iptables 設定一些安全防護功能 (2) (冷日
(冷日), 2005/2/19 20:11)
- [分享]使用 iptables 設定一些安全防護功能 (3) (冷日
(冷日), 2005/2/19 20:12)
- [分享]IPtables與防火牆 (冷日
(冷日), 2005/2/19 20:18)
- [轉貼]How to bind 2 WAN 1 LAN (冷日
(冷日), 2005/2/19 20:23)
- [分享]Linux 上多條對外連線(Multi-Path)實作 (冷日
(冷日), 2005/2/19 20:26)
- [分享]iptables ─ 功能看齊 enterprise 防火牆 (冷日
(冷日), 2005/2/25 14:52)
- [分享]iptables經典設置 (冷日
(冷日), 2005/5/18 19:42)
- [分享]iptables動態NAT對應測試 (冷日
(冷日), 2005/11/4 6:44)
- [分享]一張網卡 bind 兩個不同網段的 IP (冷日
(冷日), 2005/11/4 7:00)
- [分享]Linux 指令簡單將攻擊IP列入iptables 限制範圍 (冷日
(冷日), 2008/4/24 6:21)
- [轉貼]防 ssh 暴力攻擊 使用iptables & shell (冷日
(冷日), 2010/3/29 10:12)
- [轉貼]自動擋掉嘗試用ssh入侵Linux的攻擊者IP (冷日
(冷日), 2010/3/29 10:16)
|
