注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Tenhlf的博客

 
 
 

日志

 
 

centos 5中iptables的默认规则  

2009-08-01 20:14:46|  分类: Linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

使用 setup 设定规则 filter table 中除了预设的 INPUT OUTPUT FORWARD 外再自行建立了 RH-Firewall-1-INPUT

INPUT FORWARD 导向 RH-Firewall-1-INPUT 中。
注:INPUT是指进入本机;FORWARD是指由一个界面流向另一个界面(例:eth0 <--> eth1)。

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT


完全接受 loopback interface 的封包(主机可以存取本身的所有服务项目)

-A RH-Firewall-1-INPUT -i lo -j ACCEPT


允许主机可以接受 ping icmp 封包

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT


下面这三行与ipv6 有关,(224.0.0.251 is a multicast address ... you can disable it if you don't want to use mdns ...

注:可删除规则下列规则

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT


因特网打印机服务

631/tcp # Internet Printing Protocol
631/udp # Internet Printing Protocol

注:可删除规则下列规则

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT


允许联机出去后对方主机响应进来的封包(包括主动式与被动式的ftp联机)。

当主机对外要建立联机时,远程主机势必也要响应封包到原主机,所以响应的封包是要被允许的。

-m state --state ESTABLISHED 扮演很重要角色,那就是允许联机出去后对方主机响应进来的封包。

RELATED 配合 ip_conntrack_ftp ip_nat_ftp)模块 可以针对连入与连外目的 port 21 ftp 协议命令沟通进行拦截

/etc/sysconfig/iptables-config 中加入

IPTABLES_MODULES="ip_conntrack_ftp"

重新启动 iptables 服务即可加载指定的模块!

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


允许联机服的项目(tcp/1000tcp/873tcp/22tcp/80等)

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT


除了允许的服务外其它响应 icmp封包 「icmp-host-prohibited

每个type所对应的讯息如下:

icmp-net-unreachable => Destination Net Unreachable
icmp-host-unreachable => Destination Host Unreachable
icmp-port-unreachable => Destination Port Unreachable
icmp-proto-unreachable => Destination Protocol Unreachable
icmp-net-prohibited => Dest Unreachable, Bad Code: 9
icmp-host-prohibited => Dest Unreachable, Bad Code: 10

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited


Code:9  Destination network administratively prohibited——目的网络被强制禁止

Code:10 Destination host administratively prohibited——目的主机被强制禁止

 

  评论这张
 
阅读(2893)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018