iptables防火墙设置视频演示 01(Linux安全配置入门教程)

2009-02-15  分类:linux_iptables 标签: ,  作者:fanzg


入侵某台电脑有很多种途径,其中通过端口进行入侵比较普遍,而且一经成功危害比较大。
特别是作为服务器的计算机,把不必要的端口关闭,这是常用的做法。

用Linux作为服务器操作系统,使用Linux自带的防火墙iptables可以实现这功能。

对端口的处理 常用的做法:

关闭所有端口,只打开要对外使用的端口。
例如:作为web服务器 我们可以关闭所有端口,只打开80端口。

下面结合图片和Linux下iptables的命令操作来实现,还有理解iptables工作流程。

我使用 CentOS5.1 Linux 作为操作演示:

登陆进去了, 首先要查看下 防火墙的情况:

]# iptables -L -n

看到 INPUT ACCEPT, FORWARD ACCEPT , OUTPUT ACCEPT

我们可以这样理解 , iptables 由3个部分组成

INPUT, FORWARD 和 OUTPUT,我们先看 INPUT 和 OUTPUT

(policy ACCEPT) 表示是完全接受 所有的数据,也就是说

现在的iptables 防火墙 没有起到任何作用。

下面我结合 我们常见的 浏览网页 来为大家解析一下 工作原理:

首先我这个 服务器上 安装了 web 服务器和编写了网页上去。

看到了吧, 正常浏览网页。大家都知道我们浏览网页其实就是

访问服务器的80端口,只是默认不用写上去。

http://192.168.1.99:80  这样也是一样的

iptables

现在 我们 iptables 就是和上面的图片 一样 ,因为 INPUT,OUTPUT都是

ACCEPT 接受任何数据的访问的,那么要是我们关闭其中一个呢 ?

就像现在图片的效果,我们关闭 INPUT,那么结合 iptables 的命令

iptables

就是这样 :]# iptables -P INPUT DROP

DROP 可以这样理解, 当INPUT 遇到数据就不接受丢失它,不让它进入

好,我们演示一下, 设置好了,我们再查看一下 iptables -L -n

看到了吗 ? 现在 Chain INPUT (policy DROP) 和一开始不同了,现在对 所有向服务器发来的数据全部丢失。

这样应该不能访问 网站的网页了, 我们刷新试下。看到了吧, 一直等待 打开,刚才那个是历史记录,

该页无法显示。 无法显示。 为什么这样呢 ?

结合图片可以看到 , 用户向服务器发送请求浏览网页,但是服务器关闭了接受数据的

端口, 那么web服务器无法得到数据 返回给用户,所以用户浏览器一直等待,最后等的

时间太长了 超时了,出现 该页无法显示。。。

还有一种情况 就是 INPUT 打开 而 OUTPUT关闭 将会怎样.

先把 INPUT 设为 ACCEPT : iptables -P INPUT ACCEPT 再查看下 设好了

再把 OUTPUT 设为 DROP : iptables -P OUTPUT DROP  好,看到设好了吧。

我们再访问一下, 好,也是等待状态,这种情况 就如 下面的图片所示:

iptables

虽然我们接受用户发来的请求浏览网页,但是服务器返回的信息被OUTPUT 所限制,发不出去。

经过上面2个例子, 刚才我们是对所有端口做了 设置,

我们最终是这样 设置防火墙的,比较普遍的做法。

关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。

iptables

下面是命令实现:
]# iptables -P INPUT DROP
]# iptables -P FORWARD DROP
]# iptables -P OUTPUT DROP

再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了

这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态

还要使用 ]# service iptables save 进行保存

看到信息 firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables

可以打开文件查看 vi /etc/sysconfig/iptables

好,这个视频就到这里,下次会演示如何打开某个端口,现在我们是关闭了所有的端口

如果大家有什么建议或者视频中遇到问题,可以上 www.17rumen.com 给作者留言 谢谢!


“iptables防火墙设置视频演示 01(Linux安全配置入门教程)”有4个评论

  1. 05月 7th, 2009 at 10:15:17 #jzy

    您好!
    刚才注册时说今天已达到上限,能否今天允许我注册,比较急,谢谢。

    [回复]

    adminreply on 2009-05-07 18:50:26:

    ??? 注册什么?这里没有提供什么注册信息的。

  2. 01月 18th, 2010 at 17:49:31 #pfdiy

    图片都失效了?

    [回复]

    adminreply on 2010-02-26 11:28:20:

    呵呵,是的,因为图片都是存放在别的网络硬盘上,显示失效了, 不过可以下载视频,在视频中有这些图片。

有任何疑问或建议,可以给作者留言:



公告:

  • 2010年5月之前的视频是文字解说演示,没有声音。
  • 2010年5月以后的视频全部带声音。

标签