www.17rumen.com 一起入门视频教程下载

之前我们配置过iptables只开放某些端口，但是想安全点的话，还需要过滤一些无效的数据包，
怎样才算无效？ 不是正常请求回应的数据包。

为什么这样说呢？ 例如，现在有台Linux服务器，只开放22和80端口，也就是 INPUT和OUTPUT
都是开放的，这个2个端口。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80

情况就像现在这样。为什么说不够安全呢 ？？

假设有人进入了服务器，或者有病毒木马程序，它可以通过22，80端口像服务器外传送数据。
它的这种方式就和我们正常访问22，80端口区别。它发向外发的数据不是我们通过访问网页请求
而回应的数据包。

下面我们要禁止这些没有通过请求回应的数据包，统统把它们堵住掉。

iptables 提供了一个参数 是检查状态的，下面我们来配置下 22 和 80 端口，防止无效的数据包。

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

可以看到和我们以前使用的：
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一个状态判断。

同样80端口也一样， 现在删掉原来的2条规则，
iptables -L -n --line-number 这个是查看规则而且带上编号。我们看到编号就可以
删除对应的规则了。

iptables -D OUTPUT 1 这里的1表示第一条规则。

当你删除了前面的规则， 编号也会随之改变。看到了吧。

好，我们删除了前面2个规则，22端口还可以正常使用，说明没问题了

下面进行保存，别忘记了，不然的话重启就会还原到原来的样子。

service iptables save 进行保存。

Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
其实就是把刚才设置的规则写入到 /etc/sysconfig/iptables 文件中。

好，这样就可以防止别人利用22和80端口，随意发出没有经过请求的数据包了。谢谢观看！！

“iptables防火墙设置视频演示 05（过滤无效的数据包）”没有评论