商业源码 如何配置Windows Server 2008 R2防火墙
工具:
Windows server 2008
方法:
1、打开控制面板,点击windows 防火墙
2、防火墙的主页面里列出防火寺的基本状态。点击“启用或关闭windows防火墙”可以配置防火墙选项
3、在常规菜单里可以开户或关闭windows防火墙。启用防火墙下有个“阻止所有传入连接”设置如果打上勾,是在你使用的网络不确定安全时启用,例如,以前一直是在局域网里运行的,现在有需要连接到互联网,而且要访问一些未确定安全的网络,此时建议把这个选项选上,其它时间不建议选择,因为一旦这个选项打上,则很多需要上传到服务器的信息都会给屏蔽,这会造成某些应用无法使用
4、接着配置例外选项,所谓例外指的是防火墙对这些例外的应用程序使用的端口或者自行添加的端口不进行阻止,直接放行,适合于已知安全的应用,如杀软,公司应用以及windows相关组件的设置。
5、点击“添加程序”,系统列出已安装的应用程序,选择需要添加成例外的应用程序,点击确认即可添加成windows防火墙例外程序。“更改范围”选项里可以设置更具体的选项,如对某些计算机,某个网段进行放行,其它规则外阻止。这一点是不是很强大,如果一套公司应用程序只适合内网同事来登陆,那么把它设置成只适合内网的话,则系统能够对外网的访问进行拦截。
6、点击例外菜单下“添加端口”可添加自己所需要放行的端口,如tomcat运行时默认8080端口,可以填入tomcat及端口号8080,那么系统将对8080端口进行放行
7、点击高级菜单,这里可以配置防火墙保护哪些网卡通讯的数据。有些内网,比如服务器与服务器连接的网卡,基本上是安全的,打开的话可能会影响他们之间的信息交互,此时需要把勾去掉。
一、怎样在Linux系统中安装Iptables防火墙
几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
sudo apt-get install iptables
二、关闭哪些防火墙端口
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果您运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,我们需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
iptables -F
2、屏蔽服务器攻击路由
我们可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS数据包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止无效数据包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,我们需要打开所需端口。下列例子,供您参考:
允许SSH访问:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打开LOCALHOST访问权限:
iptables -A INPUT -i lo -j ACCEPT
允许网络流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允许SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是简单的iptables防火墙安装与配置过程。
linux的防火墙有什么作用?
linux防火墙作用一:
1、防火墙的基本模型
2、不应该过滤的包
3、针对可能的网络攻击
linux防火墙作用二:
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
linux防火墙作用三:
windows防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
具体作用如下:
1、防止来自网络上的恶意攻击;
2、阻止外来程序连接计算机端口;
3、对电脑进行防护,防止木马入侵或其它黑客软件、程序运行‘
4、阻止本地程序通过计算机端口,向外并发信息;
linux防火墙发展史?
1认识防火墙
从逻辑上讲防火墙可以分为主机防火墙和网络防护墙。
主机防火墙:针对个别主机对出站入站的数据包进行过滤。(操作对象为个体)
网络防火墙:处于网络边缘,针对网络入口进行防护。(操作对象为整体)
从物理上讲防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙:通过硬件层面实现防火墙的功能,性能高,成本高。
软件防火墙:通过应用软件实现防火墙的功能,性能低,成本低。
2系统防火墙发展过程
防火墙的发展史就是从墙到链再到表,也是从简单到复杂的过程。
防火墙工具变化如下:
ipfirewall--->ipchains--->iptables-->nftables(正在推广)
Linux20版内核中:包过滤机制为ipfw,管理工具是ipfwadm。
Linux22版内核中:包过滤机制为ipchain,管理工具是ipchains。
Linux24,26,30+版内核中:包过滤机制为netfilter,管理工具是iptables。
Linux31(313+)版内核中:包过滤机制为netfilter,中间采取daemon动态管理防火墙,管理工具是firewalld。
#目前低版本的firewalld通过调用iptables(command),它可以支持老的iptables规则(在firewalld里面叫做直接规则),
#同时firewalld兼顾了iptables,ebtables,ip6tables的功能。
3iptables和nftables
nftables
nftables诞生于2008年,2013年底合并到Linux内核,从Linux313起开始作为iptables的替代品提供给用户。
它是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的{ip,ip6,arp,eb}_tables,它的用户空间管理工具是nft。
由于iptables的一些缺陷,目前正在慢慢过渡用nftables替换iptables,同时由于这个新的框架的兼容性,
所以nftables也支持在这个框架上运行直接iptables这个用户空间的管理工具。
nftables实现了一组被称为表达式的指令,可通过在寄存器中储存和加载来交换数据。
也就是说,nftables的核心可视为一个虚拟机,nftables的前端工具nft可以利用内核提供的表达式去模拟旧的iptables匹配,
维持兼容性的同时获得更大的灵活性。
而未来最新的firewalld(080)默认使用将使用nftables。详情可以看wwwfirewalldorg
iptables、nftables和firewalld之间的区别与联系
firewalld同时支持iptables和nftables,未来最新版本(080)默认将使用nftables。
简单的说firewalld是基于nftfilter防火墙的用户界面工具。而iptables和nftables是命令行工具。
firewalld引入区域的概念,可以动态配置,让防火墙配置及使用变得简便。
准确的说:iptables(command)的最底层是netfilter,它的用户空间管理工具是iptables
nftables(command)是iptables(command)的一个替代品并兼容iptables(command),最底层依然是netfilter,它的用户空间管理工具是nft,
同时未来firewalld最新版(080)也将默认支持nftables(command)。https://firewalldorg/
iptables会把配置好的防火墙策略交给内核层的netfilter网络过滤器来处理
firewalld会把配置好的防火墙策略交给内核层的nftables包过滤框架来处理
下图为iptables、firewalld、nftables之间的关系图:
4centos6X到centos7X
centos6X:防火墙由netfilter和iptables构成。其中iptables用于制定规则,又被称为防火墙的用户态;
而netfilter实现防火墙的具体功能,又被称为内核态。简单地讲,iptables制定规则,而netfilter执行规则。
centos7X:防火墙在6X防火墙的基础之上提出了新的防火墙管理工具,提出了区域的概念,通过区域定义网络链接以及安全等级。
5怎样学好防火墙的配置?
1)OSI7层模型以及不同层对应哪些协议必须很熟悉#基础必备
2)TCP/IP三次握手,四次断开的过程,TCPHEADER,状态转换#基础必备
3)常用的服务端口要非常清楚了解。#基础必备
4)常用服务协议的原理,特别是http协议,icmp协议。#基础必备
5)能够熟练的利用tcpdump和wireshark进行抓包并分析,这样会更好#拓展
6)对计算机网络有研究,至少基本路由交换要很熟悉#拓展
6、企业中安全配置原则
尽可能不给服务器配置外网IP,可以通过代理转发或者通过防火墙映射。
并发不是特别大情况有外网IP,可以开启防火墙服务。
大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全。
用ssh工具关闭linux系统的防火墙?
一:DenyHosts,当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描)。DenyHosts是用Python写的一个程序,它会分析SSHD的日志文件(Redhat为/var/log/secure等),当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hostsdeny文件,从而达到自动屏蔽该IP的目的。
二:收集/var/log/secure里面的信息,若是某个IP链接次数超过一定次数,则把此ip记录到/etc/hostsdeny里面。通过crontab来执行,每分钟执行一次。
三:将默认端口22修改为自定义的2020端口,在防火墙中加入2020端口的策略,重启防火墙策略,sshd服务
linux如何关闭防火墙?
rhel6关闭防火墙的方法为:serviceiptablesstatus查看当前防火墙状态1永久性生效开启:chkconfigiptableson关闭:chkconfigiptablesoff2即时生效,重启后失效开启:serviceiptablesstart关闭:serviceiptablesstoprhel7关闭防火墙的方法为:systemctlstatusfirewalld查看当前防火墙状态1永久性生效开启:systemctlenablefirewalld关闭:systemctldisablefirewalld2即时生效,重启后失效开启:systemctlstartfirewalld关闭:systemctlstopfirewalld
linux怎么永久关闭防火墙?
1)重启后生效开启:chkconfigiptableson关闭:chkconfigiptablesoff2)即时生效,重启后失效开启:serviceiptablesstart关闭:serviceiptablesstop需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。在开启了防火墙时,做如下设置,开启相关端口,修改/etc/sysconfig/iptables文件,添加以下内容:-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport80-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport22-jACCEPT
问题一:如何设置本机的防火墙 点击开始菜单,在弹出的菜单中选择控制面板,如图。
点击打开控制面板,选择系统和安全这一项,如图:
点击进入系统和安全设置界面,就可看到windows防火墙设置,如图:
在此处可以检查防火墙设置和允许程序通过防火墙设置,检查防火墙设置,如图可以选择打开或关闭防火墙。
设置程序是否通过绩火墙,如图:
问题二:如何设置电脑防火墙 控制面板/安全中心/Windows防火墙/点选“启用”按确定就可以了,不用特殊设置,就是默认设置,如果设置不对容易出现错误,这样你可以按“高级”,按场面的还原默认设置按确定即可。
问题三:电脑本机防火墙怎么设置 1桌面右下角任务栏,右键更改window 防火墙设置。
2进入window防火墙页面,选择启用后,确定退出即可。
问题四:如何设置允许软件通过防火墙 1、首先进入开始菜单,然后在菜单中找到控制面板,单击控制面板这个选项进入控制面板窗口界面,如图所示
2、进入到控制面板界面,在这个界面上可以看到系统自带的控制面板选项,找到Windows防火墙选项并单击它,如图所示
3、接着就进入了在Windows防火墙主页面,在这个主页面左上方找到允许程序或功能通过防火墙,然后单击这个选项,如图所示
4、这时候就到了允许程序通过Windows防火墙通信界面,这个界面上我们可以添加或者删除程序(添加你要通过防火墙的程序,删除你不想要它通过防火墙通信额程序),根据自身需要来选择
注意:不要为陌生的软件程序开启通过防火墙的功能,这是很危险的事情,很容易被黑客利用而达到入侵的目的
5、添加要通过防火墙通信的软件
单击允许运行另一程序,这时候弹出来一个框,在框中上下移动选择你要添加的软件程序,选中这个程序然后单击添加按钮即可。
6、删除要通过防火墙通信的软件
在窗口中选中你要删除的软件,然后单击下方的删除按钮,这时候会再弹出一个框提示你是否确定删除,确定删除单击确定就可以了。
问题五:怎么调整防火墙设置? 15分 好办 你要是家里的话 就先关网 再关防火墙 然后装 在全开 要是网吧的话 就比较麻烦了
问题六:手机怎么设置防火墙 设置ip地址,打开或者关闭就行了
问题七:怎样设置防火墙的安全级别 打开“开始按钮”(屏幕左下角有开始两个字的地方),找到“控制面板”(也可以打开我的电脑,在左侧的菜单栏能看到),找到“windows 防火墙”,选择允许程序或功能通过windows防火墙中进行你需要的修改,或者是在“高级设置”中,修改入站和出站规则,把你想要不防范的那个软件勾选,让它不论入站出站都不收阻碍。名称可能有少许出入,因为我现在用的是sin7系统。你试试行不行,不行你继续追问
问题八:系统防火墙怎样设置才是最好的 新一代操作系统WINDOWS XP已正式发布,它增加了许多十分重要的新的网络功能,例如Internet连接防火墙(ICF)就是充当网络与外部世界之间的保卫边界的安全系统。Internet连接防火墙(ICF)是用来限制哪些信息可以从你的家庭或小型办公网络进入Internet以及从Internet进入你的家庭或小型办公网络的一种软件。
如果网络使用Internet连接共享(ICS)来为多台计算机提供Internet访问能力,则建议你应该在共享的Internet连接中启用ICF。ICS和ICF也可以单独启用,比如说可在直接连接到Internet的任何一台计算机上启用ICF。
一、工作原理
ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
二、注意事项
ICF和家庭或小型办公室通讯――不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙。如果在ICS客户计算机的网络适配器上启用防火墙,则它将干扰该计算机和网络上的所有其他计算机之间的某些通讯。如果网络已经具有防火墙或代理服务器,则不需要Internet连接防火墙。
ICF和通知消息――由于ICF检查所有传入通讯,而某些程序(尤其是电子邮件程序)可能在启用ICF时做出不同动作。如定期查询新邮件、等待电子邮件服务器的通知等。
高级ICF设置――ICF安全记录功能可以提供一种方式来创建防火墙活动的日志文件。ICF能够记录被许可的和被拒绝的通信。例如,默认情况下,防火墙不允许来自Internet的传入回显请求通过。如果没有启用Internet控制消息协议(ICMP)“允许传入的回显请求”,那么传入请求将失败,并生成传入失败的日志项。
三、实战防火墙
1启用或禁用Internet连接防火墙
打开“网络连接”,
单击要保护的拨号、LAN或高速Internet连接,然后在“网络任务”→“更改该连接的设置”→“高级”→“Internet 连接防火墙”下,选择下面的一项:
若要启用Internet连接防火墙,选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙,请清除此复选框。
2安全日志文件
使用ICF安全日志,你可以:
登录放弃的数据包――这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包。
当你选择“登录放弃的数据包”复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Ping和Tra>>
问题九:网络防火墙怎么设置 网络防火墙在哪里设置 1、首先需要了解电脑防火墙的位置,最简单的办法就是进入控制面板,找到windows 防火墙,打开就可以进入到具体设置页面。
2、打开电脑windows防火墙后,如果仅仅是想禁用或者启用防火墙,那么直接选定“启用”或者“关闭”,然后确定就可以了。
3、启用防火墙之后,如果想让一些软件可以进行网络连接,对另外一些程序和服务禁用网络连接,那么可以在电脑windows防火墙中选择例外菜单,如果要禁用已经联网的程序或服务,只需将勾选去除,按确定就可以了。
4、如果有一些你需要的程序或服务没有在例外列表中,而你的防火墙又是开启的,那么这部分程序和服务就不能连接外网。添加方法如下,点击例外菜单下的添加程序按钮,然后在新窗口列表中选择你要添加的程序,选择确定保存就可以了。
5、如果你设置了很多例外,到最后都想取消,取消一些不当的操作,只需要将防火墙还原为默认值就可以了,选择防火墙高级菜单,点击“还原为默认值”按钮即可。
6、还原后,也就是说以后有程序和服务要访问网络时,都会被阻止,这时你需要在例外菜单中设置,防火墙阻止程序时通知我,这样你就可以通过辨别来对某些有用的程序放行了。
7、最后建议将防火墙一直开着,这是保护你电脑不被利用的有利防线。
问题十:怎么设置防火墙允许端口 控制面板-〉防火墙-〉例外-〉添加端口
通过本教程操作,请确认您能使用linux本机。如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重!
我们来配置一个filter表的防火墙
(1)查看本机关于IPTABLES的设置情况
复制代码
代码如下:
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination/ppChain FORWARD (policy ACCEPT)
target prot opt source destination/ppChain OUTPUT (policy ACCEPT)
target prot opt source destination/ppChain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0000/0 0000/0
ACCEPT icmp -- 0000/0 0000/0 icmp type 255
ACCEPT esp -- 0000/0 0000/0
ACCEPTah--0000/00000/0
ACCEPTudp--0000/022400251udpdpt:5353
ACCEPTudp--0000/00000/0udpdpt:631
ACCEPTall--0000/00000/0stateRELATED,ESTABLISHED
ACCEPTtcp--0000/00000/0stateNEWtcpdpt:22
ACCEPTtcp--0000/00000/0stateNEWtcpdpt:80
ACCEPTtcp--0000/00000/0stateNEWtcpdpt:25
REJECTall--0000/00000/0reject-withicmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口
如果你在安装linux时没有选择启动防火墙,是这样的
复制代码
代码如下:
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination /ppChain FORWARD (policy ACCEPT)
target prot opt source destination /ppChain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有
(2)清除原有规则
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则
复制代码
代码如下:
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
复制代码
代码如下:
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination /ppChain FORWARD (policy ACCEPT)
target prot opt source destination /ppChain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存
复制代码
代码如下:
[root@tp ~]# /etc/rcd/initd/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了写入后记得把防火墙重起一下,才能起作用
复制代码
代码如下:
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
复制代码
代码如下:
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)应该说这样配置是很安全的我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加但如果你只想要有限的几个规则是,如只做WEB服务器还是推荐三个链都是DROP
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了因为你没有设置任何规则
怎么办,去本机操作呗!
(4)添加规则
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH在远程一下,是不是好了
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
复制代码
代码如下:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
,其他同理
如果做了WEB服务器,开启80端口
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
如果做了DNS服务器,开启53端口
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
复制代码
代码如下:
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
复制代码
代码如下:
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链
减少不安全的端口连接
复制代码
代码如下:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样照着写就行了
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许19216803的机器进行SSH连接
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -s 19216803 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 19216800/24 表示19216801-255端的所有IP
24表示子网掩码数但要记得把 /etc/sysconfig/iptables 里的这一行删了
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆
或采用命令方式:
复制代码
代码如下:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存写入到/etc/sysconfig/iptables文件里
复制代码
代码如下:
[root@tp ~]# /etc/rcd/initd/iptables save
这样写 !19216803 表示除了19216803的ip地址
其他的规则连接也一样这么设置
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
复制代码
代码如下:
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
复制代码
代码如下:
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
复制代码
代码如下:
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
复制代码
代码如下:
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
复制代码
代码如下:
[root@tp rcd]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 19216800/24 anywhere to:21110146235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则)关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
复制代码
代码如下:
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链因为默认链全是ACCEPT
防止外网用内网IP欺骗
复制代码
代码如下:
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10000/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 1721600/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 19216800/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与21110146253的所有连接
复制代码
代码如下:
[root@tp ~]# iptables -t nat -A PREROUTING -d 21110146253 -j DROP
禁用FTP(21)端口
复制代码
代码如下:
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义
复制代码
代码如下:
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 21110146253 -j DROP
这样只禁用21110146253地址的FTP连接,其他连接还可以如web(80端口)连接
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了
最后:
drop非法连接
复制代码
代码如下:
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
复制代码
代码如下:
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rcd/initd/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了写入后记得把防火墙重起一下,才能起作用.
复制代码
代码如下:
[root@tp ~]# service iptables restart
别忘了保存,不行就写一部保存一次.你可以一边保存,一边做实验,看看是否达到你的要求,
上面的所有规则我都试过,没有问题
首先定位到控制面板中,在控制面板中找到windows防火墙这个选项,如果找不到请在左侧的菜单中切换到经典视图。
2双击windows防火墙会弹出新的对话框,对话框默认选中常规标签,通常情况下没必要完全关闭防火墙,确保防火墙已经处于开启状态。
3这一步切换到例外标签,你可以在这里把程序或端口添加为信任,这样防火墙将不再拦截,还可以编辑或删除已经存在的项。
4点击添加程序按钮,在弹出的选择框中选择一个程序文件,选中后点击下面的确定按钮,改变会立即生效,防火墙将不再拦截该程序。
5添加端口需要为其指定一个名字和要放行的端口号码,输入完成后点击确定按钮来使设置生效。
6在例外项中选中一条点击编辑按钮会弹出编辑对话框,可以对已经存在的例外项进行修改,这里可以是例外的程序或例外的端口,修改完成后点击确定按钮来保存改变。
7如果要移除某一项例外的条目,可以在选中的情况下点击删除按钮,此时该条目将会重新被防火墙拦截。
已经存在的例外条目不建议修改,否则会导致个别程序不可用。
防火墙设置步骤:
1、首先以Windows10为例,同时按住键盘的“Windows键”和“R键”,度输入“control”:
2、然后点击“确定”后打开控制面板主页:
3、点击“系统和安全问”:
3、点击“Windows Defender 防火墙”:
4、点击“启用或关闭答Windows Defender 防火墙”:
5、最后可以看到两个选项回,“启用Windows Defender 防火墙”和“关闭Windows Defender 防火墙”,点中需要设置的选答项即可,之后确定就可以了。
0条评论