您的位置:360文档中心› Linux防火墙配置策略

Linux防火墙配置策略

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

表 示 数 据 包 发 送 的 目 标 IP为 的 数 据 包 ,该 规 则 允 许 IP 为
为 了 完 成 以 上 的 功 能 要 192.168.0.1。 “-dport 25”表 192.168.0.109的 客 户 机 访 问
求 ,首 先 编 写 一 行 规 则 ,其 内 示 匹 配 目 的 端 口 为 25的 数 据 服 务 器 上 的 FTP 服 务 (其 开
这 样 ,我 们 就 编 写 好 了 相
据 包 丢 弃 ,该 处 理 方 式 会 造 成 IN P U T ptcp d 192.168.0.1 应 的 控 制 规 则 ,实 现 了 设 计 上
数 据 包 发 送 端 认 为 数 据 包 丢 dport 80 j ACCEPT”,该 规 述 简 单 防 火 墙 的 目 的 。 我 们
接 着 编 写 规 则 “iptable A 主 机 访 问 服 务 器 上 的 POP3 据 包 发 送 到 服 务 器 的 80端 口 ,
IN P U T ptcp d 192.168.0.1 服 务 (其 开 放 的 端 口 为 110)。 该 规 则 匹 配 成 功 。 这 样 ,数 据
再 根 据 需 要 逐 一 开 放 所 需 的 服 口 TCP数 据 包 执 行 放 行 动 作 。 IN P UT 链 后 ,会 跳 过 第 一 行
务 。 因 此 ,该 规 则 作 用 就 是 拒 即 可 以 让 网 络 上 的 所 有 主 机 访 规 则 ,去 匹 配 第 二 行 规 则 。 因
INPUT 类 型 指 的 是 网 络 上 其 为 192:168.0.1的 服 务 器 25 许 IP 为 192.168.0.109 的
它 主 机 发 送 给 本 机 进 程 的 数 据 端 口 TCP 数 据 包 执 行 放 行 动 主 机 访 问 服 务 器 上 的 Telnet
外 ,只 允 许 IP 为 192.168.109 数 表 示 匹 配 TCP 协 议 的 数 据 参 数 表 示 匹 配 从 IP 为
的 主 机 访 问 该 服 务 器 上 的 所 包 ,“一d 192.168.0.1” 参 数 192.168.0.109主 机 发 送 来
有 服 务 。
容 为 “iptable -p INPUT 包 ,因 为 SMTP 服 务 开 启 的 端 放 的 端 口 为 21)。 接 着 编 写 规
DRoP”,该 规 则 的 作 用 是 将 口 为 25。 “_j ACCEPT” 参 则 “iptable A INPUT P tcp
INPUT 链 中 的 数 据 包 全 部 丢 数 表 示 处 理 数 据 包 的 方 式 ,这 192 .18.0.1 s 192.168.0 .109
一 一 ( Iort 25 J ACCEPT”,该 之 后 编 写 规 则 “iptable A 包 就 无 需 继 续 执 行 匹 配 操 作 规 则 的 作 用 是 允 许 网 络 上 的 所 INP U T P tcp 192 .18.0.1 s 了 。 因为 Nefilter的 匹 配 原 则
责任编 辑 :薛帆
信 息 安 全
投稿信箱 :netadmin@365master.com
HTTP 和 POP3服 务 ,而 不 允 服 务 。 其 中 的 “一A”参 数 表 示 dport 21 J ACCEPT”, 其
许 访 问 其 上 的 其 它 服 务 。 另 创 建 一 条 新 规 则 ,“一p tcp”参 中 的 “一s 192.168.0.109”
中 的 所 有 规 则 都 无 法 匹 配 数 据 一 一 dport l 10 J A CCEPT”, 的 25端 口 ,当 匹 配 失 败 后 ,继
包 时 ,才 启 用 该 规 则 。
该 规 则 表 示 允 许 网 络 的 所 有 续 匹 配 第 三 行 规 则 ,即 允 许 数
ຫໍສະໝຸດ Baidu
因 为 防 火 墙 规 则 的 设 计 原 则 是 为 80,该 规 则 对 发 往 IP 为 服 务 器 上 的 HTTP 服 务 时 ,其
先 拒 绝 所 有 的 网 路 连 接 ,之 后 192.168.0.1的 服 务 器 80端 发 出 的 数 据 包 进 入 防 火 墙 的
绝 所 有 的 连 接 。 注 意 ,默 认 规 问 服 务 器 的 Hr rP服 务 。
为 第 一 行 为 默 认 策 略 ,只 能 最
则 只 能 在 INPUT 链 的 最 后 一
继 续 编 写 规 则 “iptable 后 发 挥 作 用 。 第 二 行 规 则 只
行 才 能 被 匹 配 ,即 INPUT 链 A IN P U T P tcp 192.18.0.1 允 许 TCP 数 据 包 访 问 服 务 器
包 。 其 中 的 “一P”参 数 值 设 置 作 。 即 可 以 让 网 络 上 的 所 有 服 务 (其 开 放 的 端 口 为 23) 针 对 IN P UT 链 的 默 认 规 则 , 主 机 访 问 服 务 器 的 SM TP 服 的 功 能 。
这 里 为 “DROP”,指 的 是 将 数 务 。 之 后 编 写 规 则 “iptable A
失 ,进 而 不 断 的 发 送 数 据 包 ,并 则 与 上 述 规 则 的 语 法 几 乎 相 可 以 简 单 对 其 进 行 测 试 ,例 如
将 一 直 持 续 到 连 接 超 时 为 止 。 同 ,所 不 同 的 是 其 目 的 端 口 当 网 络 上 某 台 主 机 试 图 访 问
弃 ,IN P UT 链 用 来 存 放 过 滤 里 的 “ACCEPT”表 示 允 许 数 d 192.168.0.1 dport 23j
INPuT 类 型 的 数 据 包 的 规 则 , 据 包 通 过 。 该 规 则 对 发 往 IP ACCEPT”,该 规 则 实 现 了 允
相关文档
最新文档