Linux 服务器安全配置（上篇）

ACCEPT意味着允许包通过，DENY 扔掉包就象没有受到过一样，REJECT也把包扔掉，但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者，目的地址无法到达（请注意DENY和REJECT对于ICMP包是一样的）。
　　MASQ 告诉核心伪装此包，它只对forward 链和user defined链起作用，想让它起作用, 编译核心时必需让 IP Masquerading 起作用。
　　REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 ''''-j REDIRECT'''' 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用，编译内核时，必须让CONFIG_IP_TRANSPARENT_PROXY起作用。
　　最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。
　　任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了，包将通过当前链的下一个规则。

7．2．2 ipchains实例：

    ##清除input规则的规则，并改变input默认的规则链策略为REJECT

-F input

-P input REJECT

##以下是允许input规则链的tcp端口为：80 81 22 123

-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT

-A input -s 0/0 -d 0/0 81 -p tcp -y -j ACCEPT

-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT

-A input -s 0/0 -d 0/0 123 -p udp -j ACCEPT

        ##设置除了以上允许的input规则链以为，拒绝0－1023、2049、6000－6009、7100的tcp和upd端口，

-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT

-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT

-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT

-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT

-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

##允许系本身统网卡上发生的所有包通过

-A input -s 0/0 -d 0/0 -i lo -j ACCEPT

-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT

-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT

        ##清除output规则的规则，并改变output默认的规则链策略为ACCEPT

-F output

-P output ACCEPT

##清除forward规则的规则，并改变forward默认的规则链策略为DENY,设置了forward规则链允许对10.10.11.0/24网段的包可以转发并且做伪装处理。

-F forward

-P forward DENY

-A forward -s 10.10.11.0/24 -j MASQ

       < --end-- >

上一页  [1] [2] [3] [4] [5] [6] [7] 

Copyright ＠ 2007-2012 敏韬网(敏而好学，文韬武略--MinTao.Net)（学习笔记） Inc All Rights Reserved.
闵涛 E_mail:admin@mintao.net(欢迎提供学习资源)

鄂公网安备 42011102001154号

站长：MinTao ICP备案号：鄂ICP备11006601号-18