快捷搜索:   服务器  安全  linux 安全  MYSQL  dedecms

iptables 配置方法介绍(2)

 

选定预设的政策

接着,要选定各个不同的规则链,预设的政策为何。作法如下∶

 

 

 

预设全部丢弃∶

 

 

 

###-----------------------------------------------------###

# 设定 filter table 的预设政策

###-----------------------------------------------------###

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

 

 

 

 

 

或者预设全部接受∶

 

 

 

###-----------------------------------------------------###

# 设定 filter table 的预设政策

###-----------------------------------------------------###

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

 

 

 

 

 

各个规则链的预设政策可独立自主的设定,不必受其它链的影响。

 

 

 

以下练习,若目标为 DROP,则 policy 请设为 ACCEPT;若目标为 ACCEPT,则 policy 请设为 DROP,如此方可看出效果。

 

 

 

开放某一个介面

作法如下∶

 

 

 

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

 

 

 

注∶IPFW 或 Netfilter 的封包流向,local process 不会经过 FORWARD Chain,

因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。

 

 

 

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -o eth1 -j ACCEPT

 

 

 

 

 

IP 伪装

使内部网路的封包经过伪装之后,使用对外的 eth0 网卡当作代表号,对外连线。作法如下∶

 

 

 

###-----------------------------------------------------###

# 启动内部对外转址

###-----------------------------------------------------###

 

 

 

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

 

 

 

 

 

上述指令意指∶把 172.16.0.0/16 这个网段,伪装成 $FW_IP 出去。

 

 

 

虚拟主机

利用转址、转 port 的方式,使外部网路的封包,可以到达内部网路中的伺服主机,俗称虚拟主机。这种方式可保护伺服主机大部份的 port 不被外界存取,只开放公开服务的通道(如 Web Server port 80),因此安全性甚高。

 

顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论