埠與防火牆配置

2021-08-20 23:58:50 字數 3028 閱讀 2231

1.周知

埠範圍從0到1023

2.動態

埠從49152到65535

一般不固定分配某種服務,而是動態分配

3.註冊埠

埠1024到49151,分配給使用者程序或應用程式

常用埠

遠端桌面 3389

mysql 3306

redis 4389

memcahce 11211

smtp 25

pop3 110

埠與防火牆

window下在

出站 入站配置

linux下

檢視iptables -l -n 

修改vim /etc/sysconfig/iptables

iptables -a input -p tcp --dport 3306 -j accept

iptables -a output -p tcp --sport 22 -j accept

service iptables restart
iptables 引數說明

input 入站 --dport 入站埠 -d 入站ip

output 出站 --sport 出站埠 -s 出站ip

-j 接受型別 accept 和 drop

-p 協議 tcp或udp 等等

多埠配置 用逗號分隔

iptables -a input

-p tcp --dports 21,20,25,53,80 -j accept

iptables -a input -s 192.168.0.3 -p tcp --dport 22 -j accept

如果要允許,或限制一段ip位址可用 192.168.0.0/24 表示192.168.0.1-255端的所有ip.

--syn

只匹配那些設定了syn位而清除了ack和fin位的tcp包。這些包用於tcp連線初始化時發出請求;

例如,大量的這種包進入乙個介面發生堵塞時會阻止進入的tcp連線,而出去的tcp連線不會受到影響。

這等於 --tcp-flags syn,rst,ack syn。如果"--syn"前面有"!"標記,表示相反的意思。

--state state

這裡state是乙個逗號分割的匹配連線狀態列表。可能的狀態是:invalid表示包是未知連線,established表示是雙向傳送的連線,

new表示包為新的連線,否則是非雙向傳送的,而related表示包由新連線開始,但是和乙個已存在的連線在一起,

如ftp

資料傳送,或者乙個icmp錯誤

-m connlimit --connlimit-above n 

為了防止dos太多連線進來,那麼可以允許最多15個初始連線,超過的丟棄.

iptables -a input -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j drop


iptables -a input -s 192.186.1.0/24 -p tcp -m state --state established,related -j accept

iptables -a input -p tcp --dport 80-m limit --limit 25/minute --limit-burst 100-j accept

上述例子中:

-m limit:啟用limit擴充套件

–limit 25/minute:允許最多每分鐘25個連線(根據需求更改)。

–limit-burst 100:只有當連線達到limit-burst水平(此例為100)時才啟用上述limit/minute限制。

使用iptables可以實現傳入web流量的負載均衡,我們可以傳入web流量負載平衡使用iptables防火牆規則。例:使用iptables nth將https流量負載平衡至三個不同的ip位址。

iptables -a prerouting -i eth0 -p tcp --dport 443-m state --state new -m nth --counter 0--every 3--packet 0-j dnat --to-destination 192.168.1.101:443

iptables -a prerouting -i eth0 -p tcp --dport 443-m state --state new -m nth --counter 0--every 3--packet 1-j dnat --to-destination 192.168.1.102:443

iptables -a prerouting -i eth0 -p tcp --dport 443-m state --state new -m nth --counter 0--every 3--packet 2-j dnat --to-destination 192.168.1.103:443

很多情況下,mysql資料庫與web服務跑在同一臺伺服器上。有時候我們僅希望dba和開發人員從內部網路(192.168.100.0/24)直接登入資料庫,可嘗試以下命令:

iptables -a input -i eth0 -p tcp -s 192.168.100.0/24--dport 3306-m state --state new,established -j accept

iptables -a output -o eth0 -p tcp --sport 3306-m state --state established -j accept

配置防火牆埠

這裡舉例開啟80埠 3306埠 vi etc sysconfig iptables a input m state state new m tcp p tcp dport 80 j accept 允許80埠通過防火牆 a input m state state new m tcp p tcp dpo...

防火牆開放埠配置

補充 centos公升級到7之後,發現無法使用iptables控制linuxs的埠,使用firewalld代替了原來的iptables。開啟埠 firewall cmd zone public add port 80 tcp permanent重啟防火牆 firewall cmd reload查詢埠...

防火牆 埠

1.dmz口 這個是非武裝區,用於伺服器 內 外網都可以訪問,但還是與內網隔離.就算是黑客把dmz伺服器拿下,也不能使用伺服器來控制內網的網路.起到安全的策略 外部能訪問dmz 內部能訪問dmz 2.trust口 可信任的介面.是區域網的介面.此介面外網和dmz無法訪問.外部不能訪問trust口 d...