馬哥教育21期網絡班—第14周課程+練習——>iptables 練習

N21_ Dominic ? ? Linux干貨

系統的INPUT和OUTPUT默認策略為DROP;

iptables -P INPUT DROP
iptables -P OUTPUT DROP
[root@localhost ~]# iptables -L -n 
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination

1、限制本地主機的web服務器在周一不允許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不允許訪問;web服務器僅允許響應報文離開本機;

iptables -A INPUT -d 10.0.0.2 -p tcp --dport 80 -m time --weekdays Mon -m limit --limit 100/second -m string --algo bm --string "admin" -j DROP 
iptables -I OUTPUT -s 10.0.0.2 -p tcp --sport 80 -m string --algo bm --string "admin" -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT 
[root@localhost html]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            10.0.0.2            tcp dpt:80 TIME on Mon limit: avg 100/sec burst 5 STRING match "admin" ALGO name bm TO 65535 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  10.0.0.2             0.0.0.0/0           tcp spt:80 STRING match "admin" ALGO name bm TO 65535 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

2、在工作時間,即周一到周五的8:30-18:00,開放本機的ftp服務給172.16.0.0網絡中的主機訪問;數據下載請求的次數每分鐘不得超過5個;

iptables -I INPUT -p tcp -d 172.16.0.0 -m time --weekdays 1,2,3,4,5 --timestart 8:30 --timestop 18:00 -m limit --limit-burst 5  -m multiport  --dports 20,21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
[root@localhost ~]# iptables -L -n Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            172.16.0.0          TIME from 08:30:00 to 18:00:00 on Mon,Tue,Wed,Thu,Fri limit: avg 3/hour burst 5 multiport dports 20,21 state NEW,ESTABLISHED 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x為你的座位號,新請求建立的速率一分鐘不得超過2個;僅允許響應報文通過其服務端口離開本機;

iptables -I INPUT -p tcp --dport 22 -m iprange --src-range 172.16.100.1-172.16.100.100 -m limit --limit 2/minute -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
[root@localhost ~]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 source IP range 172.16.100.1-172.16.100.100 limit: avg 2/min burst 5 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state ESTABLISHED

4、拒絕TCP標志位全部為1及全部為0的報文訪問本機;

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
[root@localhost ~]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F 
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

5、允許本機ping別的主機;但不開放別的主機ping本機;

iptables -I INPUT  -p icmp --icmp-type 0 -j ACCEPT
iptables -I OUTPUT  -p icmp --icmp-type 8 -j ACCEPT
[root@localhost ~]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8

6、判斷下述規則的意義:

 # iptables -N clean_in
  自定義鏈---->clean_in
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
  增加新規則---->丟棄廣播域的包
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
  增加新規則---->丟棄ping 172.16.255.255的包
  # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP
  增加新規則---->丟棄syn標志不為1,鏈接狀態為新建鏈接的包
  # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
  丟棄tcp標志全部為1的報文
  # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
  丟棄tcp標志全部為0的報文
  # iptables -A clean_in -d 172.16.100.7 -j RETURN 
   在clean_in鏈中找不到匹配報文時回到主鏈
  # iptables -A INPUT -d 172.16.100.7 -j clean_in
  目標為172.16.100.7的報文交給clean_in處理
  # iptables -A INPUT  -i lo -j ACCEPT
  指定流入報文接口為lo
  # iptables -A OUTPUT -o lo -j ACCEPT
  指定流出報文接口為lo
  # iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
  指定流入報文接口為eth0,協議為tcp,目標端口為53,113,135,137,139,445的報文丟棄
  # iptables -A INPUT  -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
  指定流入報文接口為eth0,協議為udp,目標端口為53,113,135,137,139,445的報文丟棄
  # iptables -A INPUT  -i eth0 -p udp --dport 1026 -j DROP
  指定流入報文接口為eth0,協議為udp,目標端口為1026的報文丟棄
  # iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
  指定流入報文接口為eth0,協議為tcp,指定多個端口1433,4899,報文丟棄
  # iptables -A INPUT  -p icmp -m limit --limit 10/second -j ACCEPT
   限定ping速率為每秒10次

7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問,但172.16.100.3除外;對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日志文件中;

vim /etc/hosts.allow
vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
vim /etc/hosts.deny
vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

原創文章,作者:N21_ Dominic,如若轉載,請注明出處:http://www.www58058.com/52675

(0)
N21_ DominicN21_ Dominic
上一篇 2016-10-24 09:09
下一篇 2016-10-24 09:11

相關推薦

  • SED基本用法和在文本中的使用

    sed命令行格式為: sed [-nefri] ‘command’ 輸入文本/文件 常用選項: -n∶取消默認的輸出,使用安靜(silent)模式。在一般 sed 的用法中,所有來自 STDIN的資料一般都會被列出到屏幕上。但如果加上 -n 參數后,則只有經過sed 特殊處理的那一行(或者動作)才會被列出來 -e∶進行多項編輯,…

    Linux干貨 2017-05-05

  • mysql并發控制

    并發控制: 鎖:Lock 1、鎖類型 : 讀鎖:共享鎖,可被多個讀操作共享; 寫鎖:排它鎖,獨占鎖; 2、鎖粒度: 表鎖:在表級別施加鎖,并發性較低; 行鎖:在行級另施加鎖,并發性較高; 3、鎖策略:在鎖粒度及數據安全性之間尋求一種平衡機制; 存儲引擎:級別以及何時施加或釋放鎖由存儲引擎自行決定; MySQL Server:表級別,可自行決定,也允許顯式請求…

    2016-11-18

  • nginx配置(二)

    ngx_http_gzip_module: The ngx_http_gzip_module module is a filter that compresses responses using the “gzip” method. This often helps to reduce the size of transmitted data by half…

    Linux干貨 2017-05-08

  • 谷歌三大核心技術(二)Google MapReduce中文版

    摘要 MapReduce是一個編程模型,也是一個處理和生成超大數據集的算法模型的相關實現。用戶首先創建一個Map函數處理一個基于key/value pair的數據集合,輸出中間的基于key/value pair的數據集合;然后再創建一個Reduce函數用來合并所有的具有相同中間key值的中間value值。現實世界中有很多滿足上述處理模型的例子,本論文將詳細描…

    Linux干貨 2015-04-13

  • Linux系統認知

    前言 在認識Linux系統之前先介紹下計算機的組成構造及其功能: 1,簡單來說計算機可以劃分為軟件系統和硬件系統: (1)軟件系統自不必說就是各種不同的程序,協助用戶更好地使用電腦。 (2)硬件系統指的是主機、顯示器、鼠鍵等硬件設備。 2,按馮諾依曼體系可將計算機按邏輯構成分為: (1)CPU(運算器、控制器)。運算器是數據處理裝置,用來完成對數據的算術運算…

    Linux干貨 2016-09-20

  • 十三.Linux博客-2016年8月18日while、for特殊用法、selet循環與菜單、函數

    格式說明: 操作 概念 命令 說明及舉例 十三.while、for特殊用法、selet循環與菜單、函數 while特殊用法 while循環的特殊用法(遍歷文件的每一行): while read line; do 循環體 done < /PATH/FROM/SOMEFILE 依次讀取/PATH/FROM/…

    Linux干貨 2016-08-24

評論列表(1條)

  • 馬哥教育
    馬哥教育 2016-10-24 23:14

    排版很好,思路也很贊

欧美性久久久久