LInux系统怎么防止不让外网通过端口扫描工具扫描服务器端口？

echo "echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all">>/etc/rcd/rclocal
先不让对方PING到
然后在iptables中添加自己定制的规则。

一、你服务器的防火墙应该没有问题，因为外网上ftp://2222可以打开。
二、你内网也可以访问web服务器，说明web服务器正常
三、你通过外网上>首先你要知道你的linux系统的版本是属于哪个分发版的。当然如果你对自己的linux系统版本不知道的话也没关系。linux系统它的防火墙名为“iptables”如果你打开linux的话是黑色的话，那么你是处在终端阶段，这样如果需要打开你的防火墙的话，输入“chkconfig iptables on”，当然关闭防火墙的话只要将指令的“on”改成“off”，在执行命令即可。当然是需要重启计算机才能正式生效。 当然并不是只有一定命令启动和关闭linux系统防火墙。如果你不想让计算机重启在生效的话可以用“service”命令。当我们需要开启防火墙的话输入“service iptables start”，如需要关闭防火墙的话那就是将start替换成stop即可。当然执行service命令的话如果电脑被重启，之后对防火墙的设置还是恢复到初始状态。所有对linux系统防火墙设置的信息参数全部会丢失。 以上只是介绍了关于linux防火墙的开启及关闭。如果要在防火墙上面设置某些端口的开关命令的话，可以通过找到修改编辑/etc/sysconfig/iptables文件。说到修改防火墙的参数的话所涉及到的知识点就很多了，小编就不在做具体介绍了。
1 Iptables -F
Iptables -X
Iptables -Z
2 Iptables -t filter -A INPUT –p tcp –dport 22 -s 10000/24 -j ACCEPT 让自己人通过
Iptables -t filter -A INPUT –i lo –j ACCEPT 让自己的回环接口通过
Iptables -t filter -A INPUT –o lo –j ACCEPT
Iptables -t filter -A OUTPUT –o lo –j ACCEPT
3 默认规则
Iptables -P INPUT DROP 进阻止 所有input规则中最后匹配
Iptables -P OUTPUT ACCEPT 出同意 所有output规则中最后匹配
Iptables -P FORWORD DROP 转发禁止 所有forword规则中最后匹配
4 单独配些允许自己人进入的IP
5 配置允许外网访问端口
Iptables -t filter -A INPUT –p tcp –dport 80 -j ACCEPT
Iptables -t filter –A INPUT –p icmp –icmp-type 8 –j ACCEPT 如果想让外面的人ping同，加该行
如果有ftp协议，加下面两行
Iptables -t filter –A INPUT –m state ESTABLISHED,RELATED –j ACCEPT
Iptables -t filter –A OUTPUT –m state ESTABLISHED,RELATED –j ACCEPT
6 保存
/etc/initd/iptables save
拓展知识：
linux防火墙设置
方法如下：
1、使用工具，链接Linux系统。
2、输入用户名，和密码，连接到服务器。
3、连接服务器后，输入语句“service iptables status”，回车，会显示防火墙状态。
4、输入语句“chkconfig iptables on”，可以开启防火墙。或者使用语句“chkconfig iptables off”，关闭防火墙，需要重启后生效。
5、如果想要即可生效，可以使用语句“service iptables start”开启防火墙，或者语句“service iptables stop”关闭，关闭或者开启防火墙后，查询防火墙状态，可以看到相应的变化

1、查看系统对外开放的端口
netstat -tunlp
把里面的端口全在/etc/sysconfig/iptables文件里配置一下，如果没有这个iptables文件，就创建一个
2、编辑/etc/sysconfig/iptables，如下：
# Generated by iptables-save v147 on Fri Aug 21 23:24:02 2015
filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p udp -m udp --dport 48894 -j ACCEPT
-A INPUT -p udp -m udp --dport 923 -j ACCEPT
-A INPUT -p udp -m udp --dport 942 -j ACCEPT
-A INPUT -s 19216861163 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 19216861164 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 119216861165 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 21 23:24:02 2015
里面还配置了三台相近的服务器所有端口都可以访问
3、配置完之后重启防火墙就可以了
service iptables restart

1 IP 封禁 （这个是我们平时用得最多的）
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222222222222' reject" 单个IP
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='2222222220/24' reject" IP段
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept" 单个IP的某个端口
这个是我们用得最多的。封一个IP，和一个端口 reject 拒绝 accept 允许
当然，我们仍然可以通过 ipset 来封禁 ip
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222222222222
封禁网段
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=2222222220/24
倒入 ipset 规则
# firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklistxml
然后封禁 blacklist
# firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'
2、IP封禁和端口
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812 port port=80 protocol=tcp accept"
只对19216812这个IP只能允许80端口访问 （拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）
# firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=19216812/24 port port=80 protocol=tcp accept"
只对19216812这个IP段只能允许80端口访问（拒绝访问只需把 accept 换成 reject、删除该规则把 –add-rich-rule 改成 –remove-rich-rule即可）
3、双网卡内网网卡不受防火墙限制
# firewall-cmd --permanent --zone=public --add-interface=eth1
公网网卡–zone=public默认区域
# firewall-cmd --permanent --zone=trusted --add-interface=eth2
内网网卡–zone=trusted是受信任区域 可接受所有的网络连接
重新载入以生效
# firewall-cmd --reload

1、配置虚拟机网络连接方式  打开虚拟机，打开设置，将Network Adapter中的Network connection选择NAT方式。

2、打开win7系统下的网络共享中心，更改网络适配器，设置VMware Network Adapter VMnet8的ip。

3、进入linux系统，点击小红帽——选择system settings——选择network。

4、进入network后，双击eth0设备。

5、进入Ethernet Device配置框，选择动态设置ip地址，输入相应的IP和网关，分配完后点击确定。

6、重载该服务：service network reload即可。

---