首先修改dhcp的相应的配置文件vi /etc/dhcpd.conf在里面加入相应的记录 service dhcpd restart重启服务第二步,iptables -A FORWARD -s 192.168.1.228 -m mac --mac-source 00:25:11:22:12:E2 -j ACCEPT(也可以通过修改配置件/etc/sysconfig/iptables.save来实现防火墙的配置);
第三步,/etc/init.d/iptables save保存对防火墙的修改。
2.将内部服务器通过防火墙映射到外网,实现外网可以访问内网的功能。
第一,iptables -t nat -A PREROUTING -d 124.193.140.66 -p tcp --dport 7080 -j DNAT --to 192.168.0.170:9080(让内网服务器的相应的端口通过nat映射到外网地址的相应的端口)。
删除 iptables -t nat -D PREROUTING
第二,iptables -A FORWARD -d 192.168.0.170 -p tcp --dport 9080 -j ACCEPT(允许内网服务器的相应的端口同过防火墙)
第三,/etc/init.d/iptables save(保存对防火墙的修改)
在linux系统中安装yum install iptables-services然后 vi /etc/sysconfig/iptables# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]#这里开始增加白名单服务器ip(请删除当前服务器的ip地址)-N whitelist-A whitelist -s 8.8.8.8 -j ACCEPT-A whitelist -s x.x.x.x -j ACCEPT#这些 ACCEPT 端口号,公网内网都可访问-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT #开放1000到8000之间的所有端口#下面是 whitelist 端口号,仅限 服务器之间 通过内网 访问-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist#为白名单ip开放的端口,结束-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT登录后复制解释:添加防火墙过滤规则步骤如下1、查看现有防火墙过滤规则:iptables -nvL --line-number登录后复制2、添加防火墙过滤规则(设置白名单):1)添加白名单登录后复制iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT登录后复制命令详解:-I:添加规则的参数INPUT:表示外部主机访问内部资源登录后复制规则链:*1)INPUT——进来的数据包应用此规则链中的策略2)OUTPUT——外出的数据包应用此规则链中的策略3)FORWARD——转发数据包时应用此规则链中的策略4)PREROUTING——对数据包作路由选择前应用此链中的规则 (记住!所有的数据包进来的时侯都先由这个链处理)5)POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)3:表示添加到第三行(可以任意修改)-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP;-p: 用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)--dport: 用于匹配端口号-j: 用于匹配处理方式:常用的ACTION:登录后复制DROP:悄悄丢弃,一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表REJECT:明示拒绝ACCEPT:接受2)查看添加结果iptables -nvL --line-number登录后复制然后重启防火墙即可生效重启防火墙的命令:service iptables restart此时,防火墙规则只是保存在内存中,重启后就会失效。使用以下命令将防火墙配置保存起来;保存到配置中:service iptables save (该命令会将防火墙规则保存在/etc/sysconfig/iptables文件中。)当Linux服务器暴露在公网时,不可避免地会受到大量ssh登录请求,这些请求大多是黑客在尝试暴力破解ssh密码。笔者做过实验,将1台服务器暴露在公网,只开放ssh服务的22端口,一晚上收到了 5000多次 来自世界各地不同IP源地址的失败的登录尝试。为了应对SSH暴力破解的威胁,采取一定的防护措施是很有必要的。
在某些应用场景,登录Linux服务器进行 *** 作的只有若干个固定IP地址,例如某公司有固定IP地址的企业专线,大家的电脑就会通过这些固定IP和公网交互,这时部署在公网的Linux服务器收到的ssh登录请求,源地址就是这些固定IP地址,这时就可以设置白名单,只允许特定的IP地址访问,来自其它IP地址的ssh登录请求会被驳回。
一定要再三确认自己使用的客户端计算机的公网IP地址,重启sshd服务后,除了在白名单上的IP,来自其余IP的密码登录均会被屏蔽。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)