- 浏览: 412360 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
锦毛鼠:
嗯!不错哦,先支持一下!
MySQL-Front 5 注册码 -
bolan392:
我公司现在也想用这个工具,对于商业用户所使用的版本在国内该如何 ...
IP端口扫描工具(Tenable Nessus)的简介 -
exe:
如果目录结果不变,ant其实也不需要怎么修改,直接copy。
Maven 和 ANT 的区别 -
wx3957156:
wx3957156 写道灰常好!灰常好!
利用Java生成静态HMTL页面的方法收集 -
wx3957156:
灰常好!灰常好!
利用Java生成静态HMTL页面的方法收集
封单个IP的命令是:
iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是:
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整个段的命令是:
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是:
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
想在服务器启动自运行的话有三个方法:
1、把它加到/etc/rc.local中
2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全。
解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了
就用如下命令:
iptable -a forward -d 61.158.135.96/29 -j drop
其中“/29”是子网掩码。是封了96-103的8个ip。这样就可以封了这个网站了
这种方法是有一个问题,因为一个网站的ip并不一定都在同一个网段中,所以也许会漏过该杀的,又误杀好人
可以直接封杀域名:
iptables -A FORWARD -d www.xxx.com -j drop
网上的访问通过tcp/ip封包来进入主机系统的。在linux中它一般要同过ip过滤机制来实现第一层防护,如果通过了这层防护还的通过下一关的检查
那就是TCP_Wrappers 的功能。
封包过滤( IP Filter ):
封包过滤是 linux 提供的第一道防火墙呦!但是不同的核心版本会有不一样的封包过滤机制!以 2.2.xx 为核心的 Linux
主要以 ipchains 作为过滤机制,至于目前新版的 2.4.xx 则以 iptables 为机制!OK!既然我们的 Red Hat
7.1, 7.2, 7.3 为 kernel 2.4.xx ,所以用 iptables 来进行 IP 抵挡的工作啦!那么由于 TCP
封包里头有 IP 及 port ,所以要抵挡来源 IP 或者是自身的 port ,自然就很容易来进行啦!您目前只要知道
iptables 可以经由 TCP 的封包表投资料来进行分析的工作例如:和附规则的就通过,否则就把它丢弃
这样就防止不符合规则的人进入你的电脑。
至于抵挡封包的工作则可以让 TCP_Wrappers 来进行
要常常去看 /var/log/messages 与 /var/log/secure 这两个个档案!都是登陆登录记录等。
要做好主机的防护,第一步就是要建立完善的密码规则啦!因为这个咚咚常常是 cracker
尝试入侵的第一步!你必须要建立好主机的密码规则,可以尝试以 chattr 来将 /etc/passwd 及 /etc/shadow
做成不可变更的档案!较为安全啦!
做好安全的几个常见的工作
1.升级与修补套件漏洞、及移除危险套件:
2.每项系统服务的安全设定项目
3.TCP_Wrappers 的基础防火设定
4.iptables 的防火规则设定
5.主机资源侦测系统( MRTG )
6.登录档案分析系统:
iptables:
iptables 是 linux Kernel 2.4.xx 版本以上的主要 IP 过滤机制!他最大的功能就是可以过滤掉不要的 TCP
封包啦!当然功能还不止于此,他还可以用来进行 IP 伪装,以达成 NAT 的主机功能呢! iptables
的工作方向,必须要依规则的顺序来分析,底下我们简单的谈一谈 iptables 的几个概念吧:
有几个 tables :
跟之前版本的 ipchains 不同的地方是, iptables 可以自行定义一些 tables
的新规定!将可以让防火墙规则变的更为便于管理呢!基本上,原本的 iptable 至少有两个 table ,一个是 filter (
预设的,没有填写 tables 时,就是 filter 这个 table 啦 ),一个则是相当重要的 nat table 。其中,
filter 可以用来管理主机的安全,至于 nat 则是用来处理 NAT 的功能啦!
清除规则:
iptables 的订定方法其实很简单,就是使用指令列的方式来订定而已,他的基础语法在清除规则时,是这样的:
[root @test /root]# /sbin/iptables [-FXZ]
参数说明:
-F :清除所有的已订定的规则;
-X :杀掉所有使用者建立的 chain (应该说的是 tables )啰;
-Z :将所有的 chain 的计数与流量统计都归零
范例:
[root @test /root]# /sbin/iptables -F
[root @test /root]# /sbin/iptables -X
[root @test /root]# /sbin/iptables -Z
请注意,如果在远程联机的时候,『这三个指令必须要用 scripts 来连续执行』,不然肯定『会让你自己被主机挡在门外!』
定义政策( Policy ):
清除规则之后,再接下来就是要设定规则的政策啦!这个所谓的政策指的是『当你的封包不在你的规则之内时,则该封包的通过与否,以 Policy
的设定为准』,例如:你设定了十条规则,但有一个封包来的时候,这十条规则都不适用,这个时候此一封包就会依据 Policy
的规定为准,来决定是否可以通过防火墙啰。通常这个政策在 INPUT 方面可以定义的比较严格一点,而 FORWARD 与 OUTPUT
则可以订定的松一些!
[root @test /root]# /sbin/iptables [-t tables] [-P]
[INPUT,OUTPUT,FORWARD| PREROUTING,OUTPUT,POSTROUTING]
[ACCEPT,DROP]
参数说明:
-t :定义 table !
tables :table 的名称,例如 nat 啰!
-P :定义政策( Policy )。
INPUT :封包为输入主机的方向;
OUTPUT :封包为输出主机的方向;
FORWARD:封包为不进入主机而向外再传输出去的方向;
PREROUTING :在进入路由之前进行的工作;
OUTPUT :封包为输出主机的方向;
POSTROUTING:在进入路由之后进行的工作。
范例:
[root @test /root]# /sbin/iptables -P INPUT ACCEPT
[root @test /root]# /sbin/iptables -P OUTPUT ACCEPT
[root @test /root]# /sbin/iptables -P FORWARD ACCEPT
[root @test /root]# /sbin/iptables -t nat -P PREROUTING
ACCEPT
[root @test /root]# /sbin/iptables -t nat -P OUTPUT ACCEPT
[root @test /root]# /sbin/iptables -t nat -P POSTROUTING
ACCEPT
将预设的政策都定义为接受啰!
增加、插入规则:
接下来则要定义规则啦!我们底下先完全以主机的角度来观察!可以这样来设定啦!
[root @test /root]# /sbin/iptables [-AI] [INPUT,OUTPUT,FORWARD]
[-io interface] [-p TCP,UDP] [-s IP/network] [--sport ports] [-d
IP/network] [--dport ports] -j [ACCEPT,DROP]
参数说明:
-A :新增加一条规则,该规则增加在最后面一行;
-I :在第一条规则加入;
INPUT :封包为输入主机的方向;
OUTPUT :封包为输出主机的方向;
FORWARD:封包为不进入主机而向外再传输出去的方向;
-i :流入的网卡接口
-o :流出的网卡接口
interface :网络卡接口,例如 ppp0, eth0, eth1....
-p :请注意,这是小写呦!封包的协议啦!
TCP :封包为 TCP 协议的封包;
UDP :封包为 UDP 协议的封包;
-s :来源封包的 IP 或者是 Network ( 网域 );
--sport:来源封包的 port 号码;
-d :目标主机的 IP 或者是 Network ( 网域 );
--dport:目标主机的 port 号码;
-j :动作,可以接底下的动作;
ACCEPT :接受该封包
DROP :丢弃封包
范例:
[root @test /root]# /sbin/iptables -A INPUT -i lo -j ACCEPT
所有的来自 lo 这个接口的封包,都予以接受
[root @test /root]# /sbin/iptables -A INPUT -i eth0 -p TCP -s
192.168.0.1 -j ACCEPT
来自 192.168.0.1 这个 IP 的封包都予以接受
[root @test /root]# /sbin/iptables -A INPUT -i eth0 -p TCP -s
192.168.1.0/24 -j ACCEPT
来自 192.168.1.0 这个 C Class 的网域的任何一部计算机,就予以接受!
[root @test /root]# /sbin/iptables -A INPUT -i eth0 -p TCP -s
192.168.1.25 -j DROP
来自 192.168.1.25 的 IP 的封包,就直接全部给他丢弃!
[root @test /root]# /sbin/iptables -A INPUT -i eth0 -p TCP --dport
21 -j DROP
只要想要进来 21 这个 port 的封包,就把他丢弃!
[root @test /root]# /sbin/iptables -A INPUT -i eth0 -p TCP -s
192.168.0.24 --dport 22 -j ACCEPT
来自 192.168.0.24 的主机,想要到我的 port 22 时,就予以接受!
请注意:防火墙的规则是『一行一行依序来检查的,若符合任何一条规则,则予以动作(接受或丢弃),否则继续往下检查到最后一条』上
TCP_Wrappers:
这个 TCP_Wrappers 实在是很简单的一个设定工作,因为他只要设定 /etc/hosts.allow 及
/etc/hosts.deny 就可以啦!基本上,他是经由 /usr/sbin/tcpd 这个程序来进行 TCP
的检验工作!而检验的方式则是以 /etc/hosts.allow 及 /etc/hosts.deny 来设定的啦!检验的流程是先以
/etc/hosts.allow 这个档案,检验完之后,在到 /etc/hosts.deny 去搜寻!好了,那么
hosts.allow 要怎样设定呢?
<服务名称> : :
特别注意, network 可以使用 192.168.0.0/255.255.255.0 ,但不可使用 192.168.0.0/24
!
[root @test /root]# vi /etc/hosts.allow
in.telnetd: 127.0.0.1 : allow
in.ftpd: 127.0.0.1 : allow
本机的 127.0.0.1 开放 telnet 及 ftp 哩!
[root @test /root]# vi /etc/hosts.deny
in.telnetd: 192.168.2.3 : deny
将 192.168.2.3 的 telnet 服务关掉!
发表评论
-
linux gzip 命令详解
2010-06-29 09:08 1930linux gzip 命令详解 减少文件大小有两个明显的好 ... -
Nginx 介绍
2010-06-19 11:16 961一、介绍 Nginx是俄罗斯人编写的十分轻量级的HTTP服务 ... -
iptable 使用实例
2010-03-19 13:57 828iptables使用实例 首先 ... -
使用 xmllint + schema 校验 xml 文档
2010-01-23 18:31 3189使用 xmllint + schema 校验 xml 文档 ... -
Linux操作系统下Route命令详细使用说明
2010-01-18 16:00 1437Linux 操作系统下Route 命令详细 ... -
init6与reboot的区别
2010-01-13 21:08 1397init命令用于改变操作系统的运行级别。 Init 6是重新 ... -
lsof 命令详解
2010-01-08 17:18 1993lsof 命令详解 lsof全名list opened f ... -
linux id 命令详解
2010-01-07 15:52 5145linux id 命令详解 功能说明:显示用户的 ... -
xhost +
2010-01-07 15:42 1091xhost是用来控制X server访问权限的。 通常当你从 ... -
Shell 条件判断总结
2010-01-06 13:57 1004Shell 条件判断总结 UNIX ... -
查看硬盘信息的linux命令
2010-01-05 11:13 3372[root@localhost ~]# fdisk -l D ... -
Linux面试题
2009-12-18 13:37 1455Linux面试题 一.填空题 ... -
Linux一句话精彩问答
2009-12-04 21:35 23410001 修改主机名(陈绪) vi /etc/sy ... -
tar命令详解
2009-12-04 21:18 1358tar命令详解 ... -
linux gzip 命令详解
2009-12-04 21:11 1988linux gzip 命令详解 减 ... -
什么是xinetd?
2009-11-26 09:27 1537什么是xinetd? 大家 ... -
inetd Internet 超级服务器
2009-11-26 09:19 695inetd ... -
How to create user on linux
2009-11-24 09:17 979Create a user named nxuser. 1. ... -
Linux 指令篇:文件系统--sync
2009-11-23 15:19 834名称 : sync 使用权限 : 系统管理者 ... -
Linux/UNIX命令dd简介
2009-11-23 15:08 953dd 是 Linux/UNIX 下的一个非常有用的命令 ...
相关推荐
iptables的用法,用iptables封IP的方法,安装,启动,关闭
linux iptables防火墙黑名单(封IP) Connection reset by peer
获取国家IP段 首先,从网站 `http://www.ipdeny.com/ipblocks/` 下载对应国家的IP地址块列表。这些列表通常会定期更新,确保获取最新的数据以便正确地识别和阻挡来自特定国家的IP。 #### 2. 安装ipset 在CentOS ...
- 添加特定内网IP的信任,例如`iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT`,允许指定IP的TCP请求。 - 最后,设置INPUT链的默认策略为DROP,拒绝所有未明确允许的请求,`iptables -P INPUT DROP`。 4. ...
- 封IP子网段:`iptables -I INPUT -s 123.45.0.0/16 -j DROP` - 封更小的IP段:`iptables -I INPUT -s 123.45.6.0/24 -j DROP` 要保存这些规则,可以运行`service iptables save`,这会将规则写入`/etc/...
实战DoS Deflate DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限 制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP.
openwrt路由器怎么使用iptables进行域名过滤?域名过滤主要是怕孩子玩游戏或者上不好的网站,所以将一些网址关键字段给封了,这样即使电脑有网也没办法登陆哪些被封的网站,下面我们来看看设置方法
iptables的前身叫ipfirewall (内核1.x时代),是从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样...
主要介绍了linux防墙iptables详细介绍、配置方法与案例,需要的朋友可以参考下
标题中的“Shell脚本实现防止国外ip访问服务器”是指通过编写Shell脚本来阻止非本国IP地址对服务器的访问。在描述中提到了一种方法,即利用...此外,这种方法也有可能误封某些需要访问的IP,因此在实施时需要谨慎考虑。
如果您已使用iptables.local文件覆盖了action.d / iptables.conf,请查看该项目随附的iptables.local文件,并对您的版本进行适当的修改。 克隆此项目后: cd fail2ban-blacklist cp -r * /etc/fail2ban 确保...
**封IP段的命令**: ```bash iptables -I INPUT -s 106.45.233.0/24 -j DROP iptables -I OUTPUT -s 106.45.233.0/24 -j DROP ``` **封整个段的命令**: ```bash iptables -I INPUT -s 106.0.0.0/8 -j DROP iptables ...
本文档主要面向已经对IP地址、网络基础和DNS有一定了解的读者,旨在教你如何在Linux 2.4内核中使用iptables来过滤和管理网络流量。 1. 包过滤器的基本概念 包过滤器是一种在网络层检查数据包头并决定其命运的软件...
IPSec(Internet Protocol Security)是一种网络协议套件,用于在Internet Protocol(IP)网络上提供安全通信。它通过加密和身份验证服务确保数据传输的安全性,可以用来保护网络流量免受窃听和篡改。在某些情况下,...
自动扫描tcp / udp连接,找到错误的IP并用iptables禁止它们。 如何使用 cd /usr/local wget https://github.com/yeezon/AntiDDoS/archive/master.zip unzip master.zip mv AntiDDoS-master/ ddos cd ddos chmod +x ...
1. 防火墙规则:`iptables`在Linux中设置防火墙规则,`netsh advfirewall firewall`在Windows中管理防火墙。 2. SSH配置:`ssh-keygen`生成密钥对,`sshd_config`配置SSH服务器。 六、网络性能监控 1. `top`或`...
黑名单中的IP将被限制在一段时间内无法访问服务器。此外,mod_evasive还具有IP通知功能,可以将可疑活动报告给系统管理员,以便进一步调查。 **安全与优化** 虽然mod_evasive提供了基本的防护,但为了最大化效果,...
标题提及的"Ubuntu系统中防火墙UFW设置方法步骤"主要涉及的是Ubuntu操作系统中的Uncomplicated Firewall(UFW)的配置和使用。...不过,使用UFW时,务必谨慎操作,以免误封重要服务导致系统无法正常通信。
在Windows系统中,通常会使用"netstat"、"nmap"或"iptables"(在Linux环境中)等命令来查看和关闭端口。 2. **winipsec.dll**:这可能是一个动态链接库文件,为Windows IP 安全策略提供支持。它可能用于配置IPSec...
如果不打开nmb服务器的话,只能通过IP来访问,比如在Windows的IE浏览器上打入下面的一条来访问; \\192.168.1.5\共享目录 \\192.168.1.5\opt 而nmb是解析用的,解析了什么呢?就是把这台Linux机器所共享的工作...