馬哥教育網絡20期+第十四周課程練習

Net20_有馬 ? ? 學員作品

系統的INPUT和OUTPUT默認策略為DROP;

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP

1、限制本地主機的web服務器在周一不允許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不允許訪問;web服務器僅允許響應報文離開本機;

周一不允許訪問

#iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays Mon -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT

新請求速率不能超過100個每秒

# iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/s

web包含admin字符串的頁面不允許訪問

# iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'admin' -j REJECT

web服務器僅允許響應報文離開主機

# iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

2、在工作時間,即周一到周五的8:30-18:00,開放本機的ftp服務給172.16.0.0網絡中的主機訪問;數據下載請求的次數每分鐘不得超過5個;

# iptables -A INPUT -p tcp --dport 21 -s 172.16.0.0 -m time ! --weekdays 6,7  -m time --timestart 8:30 --timestop 18:00 -m limit --limit 5/m

3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x為你的座位號,新請求建立的速率一分鐘不得超過2個;僅允許響應報文通過其服務端口離開本機;

# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 172.16.0.1-172.16.0.100 -m limit --limit 2/m
# iptables -A OUTPUT -p tcp --sport 22 -m iprange --dst-range 172.16.0.1-172.16.0.100 -m state --state ESTABLISHED -j ACCEPT

4、拒絕TCP標志位全部為1及全部為0的報文訪問本機;

# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

5、允許本機ping別的主機;但不開放別的主機ping本機;

# iptables -A INPUT  -p icmp --icmp-type 0 -j ACCEPT
# iptables -A OUTPUT  -p icmp --icmp-type 8 -j ACCEPT

6、判斷下述規則的意義:

# iptables -N clean_in

創建一條自定義鏈clean_in

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP

丟棄同網絡的的icmp協議包

# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP

丟棄來源172.16網絡的icmp協議包

# iptables -A clean_in -p tcp ! –syn -m state –state NEW -j DROP

丟棄syn狀態不為1且為NEW 的連接

# iptables -A clean_in -p tcp –tcp-flags ALL ALL -j DROP

丟棄所有tcp標志位為1的數據包

# iptables -A clean_in -p tcp –tcp-flags ALL NONE -j DROP

丟棄所有tcp標志位為0的數據包

# iptables -A clean_in -d 172.16.100.7 -j RETURN

如果是訪問172.16.100.7的,就返回clean_in鏈

原創文章,作者:Net20_有馬,如若轉載,請注明出處:http://www.www58058.com/56675

(1)
Net20_有馬Net20_有馬
上一篇 2016-11-14 08:27
下一篇 2016-11-14 08:27

相關推薦

  • sed 流編輯器 練習

    8-9 sed 練習 1、刪除/etc/grub2.conf文件中所有以空白開頭的行行首的 空白字符 sed 's@^[[:space:]]@@g' /etc/grub2.conf ? 2、刪除/etc/fstab文件中所有以#開頭,后面至少跟一個空 白字符的行的行首的#和空白字符 sed 's@^#[[:space:]]\{1…

    學員作品 2016-08-10

  • 正則表達式

    grep:Global search REgular expression and Print out the line         文本搜索工具,根據用戶指定的”模式“對目標文本逐行進行匹配檢查;打印匹配到的行        模式:由正則表達式字符及文本字符所編寫的過濾條件…

    Linux干貨 2016-08-08

  • 8月5日課堂及課后作業

    課堂作業 1.找出ifconfig命令結果中的IP地址 [root@localhost ~]# ifconfig |head -2|grep "inet" |tr " " ":"|cut -d:&nb…

    2016-08-08

  • 【驚爆】馬哥linux2016最新全套課程(內部泄密版)

    你知道么,馬哥linux2016最新全套課程(內部泄密版)被曝光了,小編剛剛得到消息,然后就給大家分享出來了,大家快來點評下,話說2016版課程如何?且聽小編慢慢為你道來 全新內容,全新陣容,引入ELK和Docker內容,更加貼合生產環境應用,全新的Centos7搭載完善的實戰實驗室,強大的不像實力派,特別需要說明的一點:0首付0利率,機會不容錯過?。?! 高…

    學員作品 2015-10-21

  • 馬哥團隊帶你領略阿里風景

    馬哥團隊帶你揭秘互聯網巨頭公司—阿里巴巴 繼馬哥團隊騰訊一行之后,4月中旬我們又來到了坐落于杭州的另一個互聯網巨頭公司。 波濤萬里長江水,帶你入杭州。 真情伴你走,春色為你留。 西湖煙水茫茫,百頃風潭,十里荷香。 風景甚好,怎能不去杭州的阿里巴巴轉轉呢? 帶著“淡妝”,走,跟著我們前行…… 馬哥更是笑道:“我們這次來是和馬云談合作的!讓我們培訓出來的更多同學…

    學員作品 2015-04-29

  • Linux中的高級文本編輯器神器vim

    Vi(Visual Interface):是一種文本編輯器,所謂文本數據是基于字符編碼的文件,常見的編碼有ASCII編碼,UNICODE編碼等等。 文本編輯器的種類:        行編輯器:所謂行編輯器是指一行一行來編輯處理的工具,如sed。   全屏編輯器:編輯空間占據整個屏幕,如nano,vi。 Vim…

    學員作品 2016-08-10

評論列表(1條)

  • 馬哥教育
    馬哥教育 2016-11-16 15:41

    作業是不是沒寫全???

欧美性久久久久