iptables學習研究(二)
2010-01-15 14:01:27| 分類: 安全-rhel_iptabl | 標籤: |字號大中小 訂閱
下面給出簡單的iptables規則定義的步驟與方法:
第一步:清楚所有以定義的規則和用戶自定義規則
#iptables -F
#iptables -X
#iptables -Z
第二步:設置默認政策,這裏爲了安全和方面控制,把所有默認政策設置爲丟棄(DROP)
#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT DROP
第三步:禁止ping服務器
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
第四步:禁止ip轉發
#/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
第五步:允許本地環路
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
第六步:確保tcp連接是合法的syn數據包
#iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
第七步:打開ssh端口(即22端口)
#iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
第八步:打開ftp端口(即21端口)
#iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
第九步:打開www端口(即80端口)
#iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
第十步:保存
#iptables-save > iptables-script
#iptables-restore iptables-script
或者
#service iptables save