[root@localhost root]# vi fw.sh
#! /bin/bashmodprobe ip_conntrack_ftp
ipt="iptables -a input"iptables -f input
$ipt -i lo -j accept
$ipt -p tcp -s 192.168.170.0/24 -m multiport \
--dport 21,25,80,110 -j accept
$ipt -p tcp -s 192.168.170.1 --dport 22 -j accept
$ipt -m state --state related,established -j accept
$ipt -j reject
(解釋)
modprobe ip_conntrack_ftp
顯式加進模組,為了解決 ftp可以連線,但是命令(如ls )執行不了
ipt="iptables -a input"—a 表示新增規則
—d 表示刪除規則
—f 表示清空規則
iptables -f input
清空input鏈
$ipt -i lo -j accept-i 進入的介面
-o 出去的介面
即是回送的介面都接收
$ipt -p tcp -s 192.168.170.0/24 -m multiport \--dport 21,25,80,110 -j accept
-p tcp/udp/imap
-s 源ip-d
目標ip
--sport 源埠
—dport 目標埠192.168.170.0/24 網段的,埠為21,25,80,110的包都接收
$ipt -p tcp -s 192.168.170.1 --dport 22 -j accept
允許windows本地連線linux(putty使用)
$ipt -m state --state related,established -j acceptstate:
new 新建連線允許相關連線,已建立連線的後面的包接收related 相關連線
established 已建立連線
invalid 非法連線
$ipt -j reject不符合上面的全部拒絕
[root@localhost root]#sh fw.sh
在windows下,用命令列
然後[root@localhost root]# vi fw.sh
去把21埠刪除,儲存
【root@localhost root]# sh fw.sh
在windows下,用命令列
有上面二圖,可知道ftp 使用21埠
然後驗證80埠
[root@localhost root]# cat > /var/www/html/index.html
helloworld
同上面一樣,把80去掉
再用瀏覽器就瀏覽不到頁面,證明要用到80埠
基本完了,下次發個 期中卷的內容
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
防火牆系列(一) 何為防火牆
簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...
如何正確地部署防火牆?
防火牆在實際的部署應用過程當中,經常部署在閘道器的位置,也就是經常部署在網內和網外的乙個 中間分隔點 上,而就是在這樣乙個部署的環境中,也還存在著多種方式,且存在著許多 陷阱 本文將對幾種方式進行分析。請閱讀全文 防火牆在實際的部署應用過程當中,經常部署在閘道器的位置,也就是經常部署在網內和網外的乙...