iptables禁止端口和开放端口
1、关闭所有的INPUTFORWARDOUTPUT只对某些端口开放。
下面是命令实现:
iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTDROP
再用命令iptables-L-n查看是否设置好,好看到全部DROP了
这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态
还要使用serviceiptablessave进行保存
看到信息firewallrules防火墙的规则其实就是保存在/etc/sysconfig/iptables
可以打开文件查看vi/etc/sysconfig/iptables
2、
下面我只打开22端口,看我是如何操作的,就是下面2个语句
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AOUTPUT-ptcp--sport22-jACCEPT
再查看下iptables-L-n是否添加上去,看到添加了
ChainINPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22
ChainFORWARD(policyDROP)
targetprotoptsourcedestination
ChainOUTPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22
现在Linux服务器只打开了22端口,用putty.exe测试一下是否可以链接上去。
可以链接上去了,说明没有问题。
最后别忘记了保存对防火墙的设置
通过命令:serviceiptablessave进行保存
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AOUTPUT-ptcp--sport22-jACCEPT
针对这2条命令进行一些讲解吧
-A参数就看成是添加一条INPUT的规则
-p指定是什么协议我们常用的tcp协议,当然也有udp例如53端口的DNS
到时我们要配置DNS用到53端口大家就会发现使用udp协议的
而--dport就是目标端口当数据从外部进入服务器为目标端口
反之数据从服务器出去则为数据源端口使用--sport
-j就是指定是ACCEPT接收或者DROP不接收
3、禁止某个IP访问
1台Linux服务器,2台windowsxp操作系统进行访问
Linux服务器ip192.168.1.99
xp1ip:192.168.1.2
xp2ip:192.168.1.8
下面看看我2台xp都可以访问的
192.168.1.2这是xp1可以访问的,
192.168.1.8xp2也是可以正常访问的。
那么现在我要禁止192.168.1.2xp1访问,xp2正常访问,
下面看看演示
通过命令iptables-AINPUT-ptcp-s192.168.1.2-jDROP
这里意思就是-A就是添加新的规则,怎样的规则呢?由于我们访问网站使用tcp的,
我们就用-ptcp,如果是udp就写udp,这里就用tcp了,-s就是来源的意思,
ip来源于192.168.1.2,-j怎么做我们拒绝它这里应该是DROP
好,看看效果。好添加成功。下面进行验证一下是否生效
一直出现等待状态最后该页无法显示,这是192.168.1.2xp1的访问被拒绝了。
再看看另外一台xp是否可以访问,是可以正常访问的192.168.1.8是可以正常访问的
4、如何删除规则
首先我们要知道这条规则的编号,每条规则都有一个编号
通过iptables-L-n--line-number可以显示规则和相对应的编号
numtargetprotoptsourcedestination
1DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:3306
2DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:21
3DROPtcp--0.0.0.0/00.0.0.0/0tcpdpt:80
多了num这一列,这样我们就可以看到刚才的规则对应的是编号2
那么我们就可以进行删除了
iptables-DINPUT2
删除INPUT链编号为2的规则。
再iptables-L-n查看一下已经被清除了。
5、过滤无效的数据包
假设有人进入了服务器,或者有病毒***程序,它可以通过22,80端口像服务器外传送数据。
它的这种方式就和我们正常访问22,80端口区别。它发向外发的数据不是我们通过访问网页请求
而回应的数据包。
下面我们要禁止这些没有通过请求回应的数据包,统统把它们堵住掉。
iptables提供了一个参数是检查状态的,下面我们来配置下22和80端口,防止无效的数据包。
iptables-AOUTPUT-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
可以看到和我们以前使用的:
iptables-AOUTPUT-ptcp--sport22-jACCEPT
多了一个状态判断。
同样80端口也一样,现在删掉原来的2条规则,
iptables-L-n--line-number这个是查看规则而且带上编号。我们看到编号就可以
删除对应的规则了。
iptables-DOUTPUT1这里的1表示第一条规则。
当你删除了前面的规则,编号也会随之改变。看到了吧。
好,我们删除了前面2个规则,22端口还可以正常使用,说明没问题了
下面进行保存,别忘记了,不然的话重启就会还原到原来的样子。
serviceiptablessave进行保存。
Savingfirewallrulesto/etc/sysconfig/iptables:[OK]
其实就是把刚才设置的规则写入到/etc/sysconfig/iptables文件中。
6、DNS端口53设置
下面我们来看看如何设置iptables来打开DNS端口,DNS端口对应的是53
大家看到我现在的情况了吧,只开放22和80端口,我现在看看能不能解析域名。
hostwww.google.com输入这个命令后,一直等待,说明DNS不通
出现下面提示:
;;connectiontimedout;noserverscouldbereached
ping一下域名也是不通
[root@localhost~pingwww.google.com
ping:unknownhostwww.google.com
我这里的原因就是iptables限制了53端口。
有些服务器,特别是Web服务器减慢,DNS其实也有关系的,无法发送包到DNS服务器导致的。
下面演示下如何使用iptables来设置DNS53这个端口,如果你不知道域名服务端口号,你
可以用命令:grepdomain/etc/services
[root@localhost~grepdomain/etc/services
domain53/tcp#name-domainserver
domain53/udp
domaintime9909/tcp#domaintime
domaintime9909/udp#domaintime
看到了吧,我们一般使用udp协议。
好了,开始设置。。。
iptables-AOUTPUT-pudp--dport53-jACCEPT
这是我们ping一个域名,数据就是从本机出去,所以我们先设置OUTPUT,
我们按照ping这个流程来设置。
然后DNS服务器收到我们发出去的包,就回应一个回来
iptables-AINPUT-pudp--sport53-jACCEPT
同时还要设置
iptables-AINPUT-pudp--dport53-jACCEPT
iptables-AOUTPUT-pudp--sport53-jACCEPT
好了,下面开始测试下,可以用iptables-L-n查看设置情况,确定没有问题就可以测试了
[root@localhost~iptables-L-n
ChainINPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:80
ACCEPTudp--0.0.0.0/00.0.0.0/0udpspt:53
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:53
ChainFORWARD(policyDROP)
targetprotoptsourcedestination
ChainOUTPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22stateESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:80stateESTABLISHED
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:53
ACCEPTudp--0.0.0.0/00.0.0.0/0udpspt:53
可以测试一下是否DNS可以通过iptables了。
[root@localhost~hostwww.google.com
www.google.comisanaliasforwww.l.google.com.
www.l.google.comisanaliasforwww-china.l.google.com.
www-china.l.google.comhasaddress64.233.189.104
www-china.l.google.comhasaddress64.233.189.147
www-china.l.google.comhasaddress64.233.189.99
正常可以解析google域名。
ping方面可能还要设置些东西。
用nslookup看看吧
[root@localhost~nslookup
>www.google.com
Server:192.168.1.1
Address:192.168.1.1#53
Non-authoritativeanswer:
www.google.comcanonicalname=www.l.google.com.
www.l.google.comcanonicalname=www-china.l.google.com.
Name:www-china.l.google.com
Address:64.233.189.147
Name:www-china.l.google.com
Address:64.233.189.99
Name:www-china.l.google.com
Address:64.233.189.104
说明本机DNS正常,iptables允许53这个端口的访问。
7、iptables对ftp的设置
现在我开始对ftp端口的设置,按照我们以前的视频,添加需要开放的端口
ftp连接端口有2个21和20端口,我现在添加对应的规则。
[root@localhostrootiptables-AINPUT-ptcp--dport21-jACCEPT
[root@localhostrootiptables-AINPUT-ptcp--dport20-jACCEPT
[root@localhostrootiptables-AOUTPUT-ptcp--sport21-jACCEPT
[root@localhostrootiptables-AOUTPUT-ptcp--sport20-jACCEPT
好,这样就添加完了,我们用浏览器访问一下ftp,出现超时。
所以我刚才说ftp是比较特殊的端口,它还有一些端口是数据传输端口,
例如目录列表,上传,下载文件都要用到这些端口。
而这些端口是任意端口。。。这个任意真的比较特殊。
如果不指定什么一个端口范围,iptables很难对任意端口开放的,
如果iptables允许任意端口访问,那和不设置防火墙没什么区别,所以不现实的。
那么我们的解决办法就是指定这个数据传输端口的一个范围。
下面我们修改一下ftp配置文件。
我这里使用vsftpd来修改演示,其他ftp我不知道哪里修改,大家可以找找资料。
[root@localhostrootvi/etc/vsftpd.conf
在配置文件的最下面加入
pasv_min_port=30001
pasv_max_port=31000
然后保存退出。
这两句话的意思告诉vsftpd,要传输数据的端口范围就在30001到31000这个范围内传送。
这样我们使用iptables就好办多了,我们就打开30001到31000这些端口。
[root@localhostrootiptables-AINPUT-ptcp--dport30001:31000-jACCEPT
[root@localhostrootiptables-AOUTPUT-ptcp--sport30001:31000-jACCEPT
[root@localhostrootserviceiptablessave
最后进行保存,然后我们再用浏览器范围下ftp。可以正常访问
用个账号登陆上去,也没有问题,上传一些文件上去看看。
看到了吧,上传和下载都正常。。再查看下iptables的设置
[root@localhostrootiptables-L-n
ChainINPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:21
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:20
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpts:30001:31000
ChainFORWARD(policyDROP)
targetprotoptsourcedestination
ChainOUTPUT(policyDROP)
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:21
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspt:20
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpspts:30001:31000
这是我为了演示ftp特殊端口做的简单规则,大家可以添加一些对数据包的验证
例如-mstate--stateESTABLISHED,RELATED等等要求更加高的验证