-
查看本地监听的端口
netstat -luntp
存在的问题:
1、本机无法访问本机
前面设置的iptables规则默认在网卡设备eth0上,我们设置本机网卡来的数据可以被访问就可以解决问题。
# 设置本地网卡来的所有请求都接受,本地回环 iptables -I INPUT -i lo -j ACCEPT
2、本机无法访问其他主机
原因是我们能对外建立连接,建立连接后我自己一直等待(监听)外部地址回应。而前面我们设置拒绝了所有的请求,因此我们需要把自己主动发起请求,并建立链接的放行。
# 对自己发起的请求进行放行 # 自己发起的请求,等待响应的连接状态会变为 ESTABLISHED # RELATED 是 FTP协议下等待相应的请求状态 iptales -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
查看全部 -
设置iptables 时先设置允许的,在设置不允许的
# 允许访问 本机的22端口,ssh使用 iptables -I INPUT -p tcp --dport 22 -j ACCEPT # 允许一段端口访问,允许本机10到21的端口都能被外部机器访问 iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT # 允许icmp访问本机,即允许所有机器都能ping通 iptables -I INPUT -p icmp -j ACCEPT # 拒绝掉没有被允许的,添加到允许的后面,使用 -A iptables -A INPUT -j REJECT # 扫描 10.10.163.233 上0-1000之间哪些端口是通的 nmap -sS -p 0-1000 10.10.163.233
查看全部 -
设置 iptables 格式及参数参考表
command 命令:
-A : 追加
-D : 删除
-L : 显示当前规则情况、一般和-n一起连用
-F : 清理当前iptables规则
-P : 设置一个默认的 iptables 规则
-I : 在原有iptables规则上添加规则,添加后在第一条,-A 添加后在最后
-R :
-n :
查看全部 -
iptable 规则组成
数据包访问控制:ACCEPT 接受、DROP 丢弃、REJECT 拒绝。DROP与REJECT的区别是。DROP直接丢弃数据包,给客户端没有响应,REJECT是拒绝数据包,并给客户端响应”数据包被拒收了“。
数据包改写:SNAT 是对源数据包地址信息的改写、DNAT是对目标地址进行改写。
信息记录: LOG 记录iptables 访问情况做一个记录。
查看全部 -
数据包在机器上的链匹配流程,及各流程所管理的表
机器接受数据后,经过PREROUTING处理后会进行分发转向、分发转向判断请求的资源是否是本机。因此会形成两种处理流程:
一:RREROUTING -分发转向-> INPUT --> 本机服务 --> OUtPUT --> POSTROUTING
二:RREROUTING -分发转向-> FORWARD --> POSTROUTING
查看全部 -
iptables 的四张表和五条连
四张表:
filter表、nat表、managle表、raw表
五条链:
INPUT OUTPUT FORWARD PREROUTING POSTROUTING
查看全部 -
Netfilter 与 iptables 的关系图
查看全部 -
如何理解四张表8条链:四张表代表的是iptables的四中能力,5条链代表的是数据包的流向查看全部
-
常见的不允许外网访问的服务:
文件服务器:NFS 123/UDP SAMBA 137,138,139/TCP 445/TCP
FTP 20/TCP,21/TCP
远程管理:ssh 22/TCP
数据库:MySQL 3306/tcp ORACLE 1521/tcp
查看全部 -
常见端口网站www http 80/tcp
https 433/tcp
邮件mail tcp: smtp/25 smtps/465 pop3/110 995/pop3s imap/143
查看全部 -
nmap -sS -p 0-1000 IPADDR 扫描0-1000端口
查看全部 -
iptables table command chain parameter&Xmatch target
-t filter -A INPUT -p tcp -j ACCEPT
nat -D FORWARD -d DROP
查看全部 -
iptables 4表5链
filter nat mangle raw
REEROUTING INPUT OUTPUT FORWARD POSTROUTING
查看全部 -
Netfilter 与 iptables 的内核关系图
查看全部 -
#nmap -sS -p 0-1000 *.*.*.*
查看全部
举报