常用的iptables過濾
作者:佚名
常用的iptables過濾:在Linux 內核中有一個功能強大的聯網子系統netfilter。netfilter 子系統提供了有狀態的或無狀態的分組過濾,還提供了NAT 和IP偽裝服務。netfilter 是通過 IPTables 工具來控制的。本文講述的是常用的iptables過濾.
常用 iptables 過濾:
把遠程攻擊者拒之“LAN”外是網絡保安的一個重要方面。LAN 的完好性應該通過使用嚴格的防火墻規則來抵御蓄意不良的遠程用戶而被保護。但是,如果默認策略被設置為阻塞所有進入、輸出、和轉發的分組,防火墻/網關和內部 LAN 用戶之間的通信就無法進行。要允許用戶執行和網絡相關的功能以及使用聯網應用程序,管理員必須打開某些端口進行通信。
例如:要允許到防火墻上的端口80的通信,添加以下規則:
- iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
- iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
這會允許用戶瀏覽通過端口80通信的網站。要允許到安全網站的訪問,你還必須打開端口443。
- iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
- iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
有時候,你可能會需要從 LAN 之外遠程地進入 LAN。SSH 和 CIPE 之類的安全服務可以用于到 LAN 服務的加密遠程連接。對于擁有基于 PPP 資源(如調制解調器池或批量 ISP 帳號)的管理員來說,撥號進入可以被用來安全地避開防火墻,因為調制解調器連接是直接連接,通常位于防火墻/網關之后。 然而,對于有寬帶連接的遠程用戶來說,你就需要制定些特殊規定。你可以配置 IPTables 接受來自遠程 SSH 和 CIPE 客戶的連接。例如,要允許遠程 SSH 訪問,你可以使用以下規則:
- iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- iptables -A OUTPUT -p udp --sport 22 -j ACCEPT
來自外部的 CIPE 連接請求可以使用以下命令來接受(把 x 替換成你的設備號碼):
- iptables -A INPUT -p udp -i cipcbx -j ACCEPT
- iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT
CIPE 使用它自己的傳輸數據報(UDP)分組的虛擬設備,因此這條規則允許 cipcb 接口上的進入連接,而不是規定源地端口或目標端口(雖然它們可以被用來代替設備選項)。
這些規則允許到防火墻上的常規及安全服務的訪問;然而,它們并不允許防火墻之后的機器使用這些服務。要允許 LAN 使用這些服務,你可以使用帶有 IPTables 過濾規則的 NAT。
【編輯推薦】
責任編輯:zhaolei
來源:
sjtu
