- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Linux络安全控制
禁止客户机访问某些服务 【例1】禁止子网里所有的客户机使用FTP协议下载(即封闭TCP协议的21端口)。 iptables -I FORWARD -s /24 -p tcp --dport 21 -j DROP 【例2】禁止子网里所有的客户机使用Telnet协议连接远程计算机(即封闭TCP协议的23端口)。 iptables -I FORWARD -s /24 -p tcp --dport 23 -j DROP 强制访问指定的站点 【例】强制所有的客户机访问8这台Web服务器。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 8:80 禁止使用ICMP协议 【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。 iptables -I INPUT -i ppp0 -p icmp -j DROP 发布内部网络服务器 【例1】发布内网0主机的Web服务,Internet用户通过访问ppp0的IP地址即可访问该主机的Web服务。 iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 0:80 【例2】发布内网0主机的终端服务(使用的是TCP协议的3389端口),Internet用户通过访问ppp0的IP地址访问该机的终端服务。 iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 0:3389 练习题 【练习1】使用iptables作防火墙,设置以下规则。 (1)禁止IP地址0从eth0访问本机。 (2)禁止子网从eth0访问本机的Web服务。 (3)禁止IP地址0从eth0访问本机的FTP服务。 【练习2】在Linux服务器上建立ADSL连接。 【练习3】使用iptables实现NAT服务,并设置以下规则。 (1)禁止所有的客户机使用QQ。 (2)禁止Internet上的计算机通过ICMP协议ping到Linux服务器的ppp0接口。 (3)发布内网0主机的Web服务到Internet。 (4)禁止用户访问域名为的网站。 (5)在Linux服务器上实现智能的DNS服务。 * 范例: /etc/hosts.allow:in.ftpd:192.168.0. /etc/hosts.deny:in.ftpd:ALL * 常用的可以使用的后台进程: sendmail sshd tcpd(所有tcp进程) xinetd gnome-session portmap(注意nis及nfs依赖portmap) * 范例: service ftp { only_from = no_access = station1 access_times = 5:00-19:00 per_source = 2 …… } * [root@server route]# iptables -P INPUT DROP [root@server route]# iptables -P FORWARD DROP [root@server route]# iptables -P OUTPUT ACCEPT [root@server route]# iptables -L Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包 而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过. 可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过. * # iptabl
文档评论(0)