⑴ 在linux上的iptables防火牆上怎麼設置信任MAC地址訪問埠
埠操作相關示例: 6.1 添加埠(1) 允許源地址為x.x.x.x/x的主機通過22(ssh)埠.iptables -A INPUT -p tcp -s x.x.x.x/x --dport 22 -j ACCEPT (2)允許80(http)埠的數據包進入 iptables -A INPUT -p tcp --dport 80 -j ACCEPT (3)允許110(pop3)埠的數據包進入,如果不加這規則,就只能通過web頁面來收信(無法用OE或Foxmail等來收)iptables -A INPUT -p tcp --dport 110 -j ACCEPT (4)允許25(smtp)埠的數據包進入,如果不加這規則,就只能通過web頁面來發信(無法用OE或Foxmail等來發)iptables -A INPUT -p tcp --dport 25 -j ACCEPT (5)允許21(ftp)埠的數據包進入(傳數據) iptables -A INPUT -p tcp --dport 21 -j ACCEPT (6)允許20(ftp)埠的數據包進入(執行ftp命令,如dir等) iptables -A INPUT -p tcp --dport 20 -j ACCEPT(7)允許53(dns)埠的數據包進入(tcp)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT(8)允許53(dns)埠的數據包進入(udp)
iptables -A INPUT -p udp --dport 53 -j ACCEPT(9)允許ICMP包通過,也就是允許ping iptables -A INPUT -p icmp -j ACCEPT(10)利用 iptables 對連接狀態的支持 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(11)把INPUT鏈的默認規則設置為DROP iptables -P INPUT DROP
⑵ Linux centos7下ftp默認埠修改後firewalld如何設置
如下21埠改成你的埠號 注意設置SELinux 或者關閉SELinux
firewall-cmd --permanent --zone=public --add-port=21/tcp
然後執行重新載入firewalld設置
firewall-cmd --reload
刪除之前的服務
firewall-cmd --permanent --remove-server=tcp
列出firewall開放埠
firewall-cmd --list-all
⑶ linux中iptables防火牆怎麼設置
Linux系統內核內建了netfilter防火牆機制。Netfilter(數據包過濾機制),所謂的數據包過濾,就是分析進入主機的網路數據包,將數據包的頭部數據提取出來進行分析,以決該連接為放行或阻擋的機制。Netfilter提供了iptables這個程序來作為防火牆數據包過濾的命令。Netfilter是內建的,效率非常高。
我們可以通過iptables命令來設置netfilter的過濾機制。
iptables里有3張表:
> Filter(過濾器),進入Linux本機的數據包有關,是默認的表。
> NAT(地址轉換),與Linux本機無關,主要與Linux主機後的區域網內計算機相關。
> Mangle(破壞者),這個表格主要是與特殊的數據包的路由標志有關(通常不用涉及到這個表的修改,對這個表的修改破壞性很大,慎改之)。
每張表裡都還有多條鏈:
Filter:INPUT, OUTPUT, FORWARD
NAT:PREROUTING, POSTROUTING, OUTPUT
Mangle:PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式:iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table:3張表中的其中一種filter, nat, mangle,如果沒有指定,默認是filter。
CMD:操作命令。查看、添加、替換、刪除等。
chain:鏈。指定是對表中的哪條鏈進行操作,如filter表中的INPUT鏈。
CRETIRIA:匹配模式。對要過濾的數據包進行描述
ACTION:操作。接受、拒絕、丟棄等。
查看
格式:iptables [-t table] -L [-nv]
修改
添加
格式:iptables [-t table] -A chain CRETIRIA -j ACTION
將新規則加入到表table(默認filter)的chain鏈的最後位置
插入
格式:iptables [-t table] -I chain pos CRETIRIA -j ACTION
將新規則插入到table表(默認filter)chain鏈的pos位置。原來之後的規則都往後推一位。pos的有效范圍為:1 ~ num+1
替換
格式:iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新規則替換table表(默認filter)chain鏈的pos位置的規則。pos的有效范圍為:1 ~ num
刪除
格式:iptables [-t table] -D chain pos
刪除table表(默認filter)chain鏈的pos位置的規則。pos的有效范圍為:1 ~ num
包匹配(CRETIRIA)
上面沒有介紹CRETIRIA的規則,在這小節里詳細介紹。包匹配就是用於描述需要過濾的數據包包頭特殊的欄位。
指定網口:
-i :數據包所進入的那個網路介面,例如 eth0、lo等,需與INPUT鏈配合
-o: 數據包所傳出的那麼網路介面,需與OUTPUT鏈配合
指定協議:
-p:tcp, udp, icmp或all
指定IP網路:
-s:來源網路。可以是IP或網路
IP: 192.168.0.100
網路: 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d:目標網格。同 -s
指定埠:
--sport:指定來源埠。可以是單個埠,還可以是連續的埠,例如:1024:65535。
--dport:指定目標埠。同--sport
注意:要指定了tcp或udp協議才會有效。
指定MAC地址:
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定狀態:
-m state --state STATUS
STATUS可以是:
> INVALID,無效包
> ESTABLISHED,已經連接成功的連接狀態
> NEW,想要新立連接的數據包
> RELATED,這個數據包與主機發送出去的數據包有關,(最常用)
例如:只要已建立連接或與已發出請求相關的數據包就予以通過,不合法數據包就丟棄
-m state --state RELATED,ESTABLISHED
ICMP數據比對
ping操作發送的是ICMP包,如果不想被ping到,就可以拒絕。
--icmp-type TYPE
TYPE如下:
8 echo-request(請求)
0 echo-reply(響應)
注意:需要與 -p icmp 配合使用。
操作(ACTION)
DROP,丟棄
ACCEPT,接受
REJECT,拒絕
LOG,跟蹤記錄,將訪問記錄寫入 /var/log/messages
保存配置
將新設置的規則保存到文件
格式:iptables-save [-t table]
將當前的配置保存到 /etc/sysconfig/iptables
其它
格式:iptables [-t table] [-FXZ]
-F :請除所有的已制訂的規則
-X :除掉所有用戶「自定義」的chain
-Z :將所有的統計值清0