- 浏览: 59032 次
- 性别:
- 来自: 苏州
-
最新评论
-
se7en8974:
有效。顶一个
老外的lovcombo 使用注意点 -
yekki:
rake rails:freeze:gem与rake rail ...
rake rails:freeze -
tianzhihua:
把你的错误贴上来吧
Struts2 Map 映射 -
myoldman:
我记得java里面integer的最大数值为214748364 ...
Struts2 Map 映射
iptables -F |
02 |
# 允许包从22端口进入 |
03 |
iptables -A INPUT -p tcp --dport 22 -j ACCEPT |
04 |
# 允许从22端口进入的包返回 |
05 |
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT |
06 |
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT |
07 |
iptables -A INPUT -p udp --sport 53 -j ACCEPT |
08 |
#允许本机访问本机 |
09 |
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT |
10 |
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT |
11 |
#允许所有IP访问80端口 |
12 |
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT |
13 |
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT |
14 |
#保存配置 |
15 |
iptables-save > /etc/sysconfig/iptables |
16 |
iptables -L |
1) 重启后生效
开启: chkconfig iptables on
关闭: chkconfig iptables off
2) 即时生效,重启后失效
开启: service iptables start
关闭: service iptables stop
需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。
在开启了防火墙时,做如下设置,开启相关端口,修改/etc/sysconfig/iptables 文件,添加以下内容:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
打开终端 #看是否已经有tomcat在运行了 例如 ps -ef |grep tomcat 输出如下
文章转载自网管之家:http://www.bitscn.com/os/linux/200710/116667.html
cd /java/tomcat
#执行
bin/startup.sh #启动tomcat
bin/shutdown.sh #停止tomcat
tail -f logs/catalina.out #看tomcat的控制台输出;
ps -ef |grep tomcat
#如果有,用kill;
kill -9 pid #pid 为相应的进程号
forward =>filter #穿过本机的数据包
prerouting =>nat #修改目的地址(DNAT)
postrouting =>nat #修改源地址(SNAT)
iptables -t 要操作的表 操作命令 要操作的链 规则号码 匹配条件 -j 匹配到以后的命令
iptables -I INPUT -j DROP #-t 默认为filter
iptables -I INPUT 3 -j DROP #链接里插入一条规则(插入第三条)
iptables -D INPUT 3 #按号码匹配删除
iptables -D INPUT -s 192.168.0.1 -j DROP #按内容匹配删除
iptables -R INPUT 3 -j ACCEPT #将原来3的规则改为-j ACCEPT
iptables -P INPUT DROP #设置默认规则
iptables -F INPUT #清空filter表INPUT链中的所有规则
iptables -t nat -F PREROUTING
iptables -t nat vxnL PREROUTING
--# v: 显示详细信息
--# x: 在v的基础上,禁止自动单位换算
--# n: 只显示IP地址和端口号码,不显示域名和服务名称
========匹配条件
-i -i eth0 #流入接口(是否从网口eth0进来)
-o #流出接口
-s -s 192.168.1.0/24 #来源地址
-d #目的地址
-p -p icmp --icmp-type #协议类型
--sport --sport 1000:3000 #来源的端口
--dport --dport 1000: :3000 #目的的端口1000:(1000端口以上) :3000(3000端口以下)
-s 192.168.0.1 -d www.sina.com -p tcp -dport 80
================================
iptables -A INPUT -j ACCEPT #允许所有访问本机IP的数据包通过
iptables -A FORWARD -s 192.168.0.1 -j DROP #阻止来源地址为192.168.80.39的数据包通过本机
-j DNAT #目的地址转换,DNAT支持转换为单IP,也支持转换到IP址
池
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.3:80
#把从ppp0进来的要访问tcp/80的数据包的地址改为192.168.0.3
-j SNAT #源地址转换
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
#将内网192.168.0.0/24的源地址改为1.1.1.1,用于nat表
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
#修改成为一个地址池
-j MASQUERADE #动态源地址转换
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#将源地址为192.168.0.0/24的数据包进行地址伪装
===================附加模块
state #按包状态匹配
mac #按来源mac匹配
limit #按包速率匹配
multiport #多端口匹配
--state
-m state #new,related,established,invalid
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#包状态 RELATED(衍生态),ESTABLISHED(连接态),NEW(有别于tcp的syn),INVALID(不被识别的)
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
#阻断来自某MAC地址的数据包通过本机
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
#用一定速率去匹配数据包
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
#一次匹配多个端口
=======================================实例分析===================================
单服务器的防护:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
制作网关:
echo "1" > /proc/sys/net/ipv4/ip_forward #启用路由转发
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
限制内网用户:filter->forward
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -A FORWARD -d www.163.com -j DROP
内网做对外服务器:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.1.2:80
========================================连接追踪模块=================================
主动模式(ACTIVE)
使用连接追踪模块(打开tcp/20,防火墙打开高范围端口,配置ftp,减小被动模式端口范围)
modprobe ip_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
被动模式(PASSIVE)
=============================网关策略=================================
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_nat_ftp
堵:
iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP
==========================三大纪律五项注意=============================
3: filter nat mangle
5: prerouting,input,forward,output,postrouting
==========================注意事项==============================
#养车好的习惯
iptables -vnL
iptables -t nat -vnL
iptables-save
#注意逻辑顺序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT
==========================FAQ======================================
iptables -m 模块名 -h
/lib/modules/`uname -r`/kernel/net/ipv4/netfilter #模块存放的路径
modprobe ip_nat_ftp #加载模块
=========================实战======================================
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 j SNAT --to 202.106.0.254
iptables -t nat -A POSTROUTING -d 202.106.0.254 -p tcp --dport 80 -j DNAT --to 172.17.0.1
iptables -A FORWARD -i eth2 -p eth1 -m state --state NEW -j DROP
发表评论
-
Spring Security 3.x 完整入门教程
2010-09-06 10:20 2569Spring Security 3.x 完整入门教程 本Blo ... -
setup.linux
2010-09-01 17:05 965yum -y install gccyum -y instal ... -
Linux下创建与解压tar, tar.gz和tar.bz2文件及压缩率对比
2010-08-30 15:48 4838Linux下创建与解压tar, tar.gz和tar.bz2文 ... -
linux下编译安装php的参数
2010-08-27 13:57 1523linux下编译安装php的参数 Fast-CGI: ... -
MySQL+PHP5+Apache安装手记
2010-08-27 13:45 918http://database.51cto.com/art/2 ... -
安装PHP
2010-08-27 11:05 2907yum install g++ yum insta ... -
安装mysql
2010-08-27 10:38 845先检查系统是否装上了mysql,如果有将其卸载掉rpm -qa ... -
rpm
2010-08-27 10:22 1102rpm -qpl xxxxxx.rpm 1.如何安装rp ... -
linux下编译安装php的参数汇总
2010-08-27 10:08 1584Fast-CGI:./configure --prefix=/ ... -
linux的chmod,chown命令 详解
2010-08-26 16:38 887指令名称 : chmod 使用权限 : 所有使用者 使用方式 ... -
Install and Configure MySQL on Linux
2010-08-26 16:35 1567wget http://mirrors.sohu.com/ ... -
mysql
2010-08-26 14:21 7871、数据库目录 /var/lib/mysql/ 2、 ... -
Java中根据模板导出数据到word的解决方案
2010-02-25 10:06 5859我们需求如下:给你一个模板,里面有一个表格,标题已经给好,程 ... -
SQL树查询
2010-02-24 17:36 1587引用: --测试数据 深度排序 DEC ... -
基于java的程序OutOfMemory问题的解决及Xms/Xmx/Xss的解释和应用
2010-02-24 16:44 2093长期以来一直都是做java应用的开发,所使用的开发工具基本上也 ... -
neybean支持漂亮的中文
2009-10-13 17:08 0neybean支持漂亮的中文方法如下: -
sychroflow 状态
2009-01-13 18:00 7281. 创建状态 2. 运行状态 3. 挂起 4. 正常 ...
相关推荐
iptables 使用指南 内容比较详细
iptables的用法,用iptables封IP的方法,安装,启动,关闭
第一章序言部分除了第三...第五章和第六章是iptables命令使用方法的详细介绍。 第七章与第八章是实例讲解,对我们编写自己的规则很有指导意义的,强烈建议你看一看。 附录里有一些资源链接是很好的,相信你一定会喜欢。
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的...通过本文档,读者可以了解到 iptables 命令的使用方法和常用的规则设定。
Kylin_Iptables防火墙配置方法
iptables的用法,linux上。 关于他的详细介绍
iptables简单使用说明,iptables简介,iptables相关表的介绍
- **iptables Matches and Targets(iptables匹配条件与目标)**:提供了各种匹配条件和目标的使用方法。 #### 七、获取帮助和支持 - **Getting Help(获取帮助)**:书中还提供了获取帮助的方法,如查看手册页、...
#### 六、iptables常见问题及解决方法 - **无法访问内部服务**: 如果外部用户无法访问内部服务,请检查相应的iptables规则是否正确配置。 - **性能问题**: 复杂的iptables规则集可能会导致性能下降。定期审查和优化...
在后续章节中,我们将详细介绍iptables的各种高级用法,包括但不限于: - 如何创建自定义链。 - 如何利用iptables进行端口转发。 - 如何设置复杂的过滤规则。 - 如何优化iptables性能。 通过深入学习这些内容,...
以上只是一部分iptables的常用语法和示例,实际使用中还可以根据需要添加更复杂的规则,如基于时间的规则、自定义标记等。iptables提供了一种灵活的方式来控制网络流量,确保系统安全并优化网络性能。理解并熟练掌握...
iptables firewall:防火墙,隔离工具 实现方式: 硬件: 软件: 按防护范围分: 工作在主机边缘处的出入口,为单台主机提供防范:主机防火墙 工作在网络的边缘处出入口,为整个网络提供防护:网络防火墙 ...
以上介绍了CentOS 6中iptables的基本使用方法及其常用操作。正确配置iptables规则对于提高系统的安全性至关重要。需要注意的是,在实际部署过程中,应根据具体需求灵活调整规则,并确保不会影响到必要的网络通信。
详细说明iptables的用法及具体实施。
附件为Debian的iptables服务脚本,脚本有详细描述脚本的用法,主要作用时讲iptables像CentOS一样,注册成Linux服务,方便iptables管理
### iptables常用命令详解 #### 一、iptables简介 ...掌握iptables的基本用法和命令是管理Linux系统安全的基础。随着对iptables更深入的理解,可以利用更多的高级特性来优化网络环境的安全性和性能。
实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配条件和扩展匹配条件定义 iptables 规则。 3)在 iptables 中添加、管理和删除自定义链。 实验环境:虚拟机 VMware 或 ...
通过本知识点的学习,读者将掌握iptables中SNAT和DNAT的原理和配置方法,了解如何通过iptables实现复杂的网络地址转换,以及如何为网络流量设置安全策略,确保网络访问的安全和稳定。这些技能对于网络管理员来说非常...
本知识点将详细介绍Linux系统下iptables配置的步骤、方法和注意事项。 ### iptables配置基础 在配置iptables之前,了解几个基本术语非常重要,它们分别是源地址(SRC)、目的地址(DST)、协议(PROTO)、源端口...